Разработчики криптовалюты Syscoin обнаружили зловредную копию установщика Windows Syscoin 3.0.4.1, которая была доступна через скомпроментированную страницу Syscoin на Github.
Установщик содержал вредоносный код (Trojan:Win32/Feury.B!cl).
При запуске фейкового установщика файл с именем re.exe сохранялся в локальной папке temp (C:\Users\user\AppData\Local\Temp).
Разработчики целенаправленно заразили дешёвый ноутбук, который не использовался для работы.
После перезагрузки компьютер запросил ввести пароль для входа, хотя перед этим он не был запаролен.
До входа в систему разработчики заметили запуск файла под названием 402232.exe, который переименовал себя в Antimalware Service Executable в диспетчере задач.
После перезагрузки он был защищён паролем.
По словам разработчиков, это, скорее всего, кейлоггер или вирус-вымогатель.
Команда Syscoin сообщила, что, согласно отчётам Windows Defender SmartScreen, AVG и Kaspersky распознают файл syscoincore-3.0.4-win64-setup.exe как потенциальный вирус.
Расследование показало, что файл установщика на Github для версии 3.0.4.1 был заменён вредоносной версией с помощью взломанного аккаунта Github.
Жертвами вируса могут оказаться пользователи Windows, которые загрузили и запустили этот установщик в период с 9 по 13 июня.
На данный момент файл удалён из Github и заменён на официальный.
Сразу же после обнаружения вируса разработчики Syscoin установили для аккаунтов двухфакторную аутентификацию и провели верификацию хешей подписей.
