Фишинговый сайт, стилизованный под сервис Cryptohopper, обнаружил пользователь Twitter под ником Fumik0_. По его словам, при посещении клона платформы на устройство автоматически загружается установщик, который содержит вирусы.
При запуске программы активируется система Vidar, она крадет личные данные пользователя. Также она устанавливает два трояна Qulab для скрытого майнинга и захвата информации из буфера обмена. Под угрозой оказываются файлы cookie, история браузера и сохраненная в нем платежная информация, в том числе необходимая для доступа к криптовалютным кошелькам. Все это отправляется на удаленный сервер.
Когда Qulab обнаруживает, что пользователь скопировал строку, похожую на адрес хранилища цифровых денег, данные подменяются на кошелек злоумышленников. В вирусе есть подставные адреса для BTC, ETH, BCH, DOGE, DASH, LTC, ZEC, BTG, XRP и QTUM. Один из них уже получил цифровые деньги в биткойнах на сумму свыше $258 000.
