Исследователи из ИБ-компании Fortinet обнаружили замаскированное под криптокошелек Windows-приложение, умеющее извлекать из браузеров сохраненные регистрационные данные, а также зашифровывать файлы и требовать выкуп. Анализ также показал, что в дополнение к этим функциям SpriteCoin выполняет загрузку другого зловреда, назначением которого предположительно является шпионаж.

По непроверенным данным, SpriteCoin распространяется через спам-сообщения на тематических форумах и загружается самим пользователем по указанной спамерами ссылке. При запуске зловред просит создать пароль для кошелька и после его ввода отображает мнимый ход загрузки блокчейна.

Пока пользователь ждет завершения этого «процесса», SpriteCoin копирует из Chrome и Firefox сохраненные идентификаторы и отсылает их на onion-сайт злоумышленников. Затем он приступает к поиску файлов с заданными расширениями и шифрует их, добавляя к итогу расширение .encrypted. После этого жертве выводится сообщение с требованием выкупа в размере 0,3 Monero.

Тестирование показало, что в том случае, когда жертва платит за расшифровку, на ее машину загружается дополнительный исполняемый файл. В Fortinet еще как следует не изучили эту полезную нагрузку, но уже выяснили, что данный зловред (детектируемый как W32/Generic!tr) способен активировать веб-камеры и парсить сертификаты и ключи.

Примечательно, что SpriteCoin соединяется с сайтом в сети Tor через onion-прокси. Эксперты полагают, что такой способ подключения избран на тот случай, если жертва не знает, как зайти в Tor, или не захочет это делать самостоятельно.

Учитывая рост всеобщего интереса к цифровой валюте, маскировка нелегитимного ПО под криптокошелек — трюк многообещающий, но отнюдь не новый. Так, в декабре в онлайн-магазине Apple всплыл скандальный факт: поддельное приложение, выдающее себя за продукт MyEtherWallet, поднялось в рейтинге финансовых программ до третьей строчки. Несколько позже аналогичные фальшивки, созданные с целью мошенничества, были обнаружены на Google Play.

Категории: Аналитика, Вредоносные программы