Троян Qulab, похищающий информацию из буфера обмена, распространяется на YouTube через мошеннические видео о якобы бесплатном генераторе биткоинов (BTC), сообщает BleepingComputer.
Видео, о котором идет речь, описывает инструмент, якобы позволяющий пользователям зарабатывать бесплатные биткоины. Встроенная в видео ссылка ведет на загрузку предполагаемого инструмента, однако вместе с ним загружается троян Qulab. Ничего не подозревающий пользователь запускает установку «генератора биткоинов», после чего троянец разворачивает свои сети.
Вдобавок к тому, что он пытается украсть как можно больше информации у своих пользователей, Quilab также ворует криптовалюту для своего создателя путем сканирования строк, скопированных в буфер обмена Windows. Часто среди них попадаются криптоадреса и закрытые ключи к ним, которые пользователи ленятся вбивать побуквенно. Распознав строку как криптоадрес, троянец подставляет вместо него адрес кошелька злоумышленника, таким образом невнимательный криптовладелец может отправить свои монеты совсем не туда, куда собирался.
Несмотря на то, что эта стратегия уже не нова, она вполне жизнеспособна, ведь пользователи редко помнят и визуально проверяют корректность крипто-адресов – довольно длинной строки символов. Как отмечает исследователь, троянец умеет распознавать довольно много типов крипто-адресов, включая адреса для биткоинов (BTC), Bitcoin Cash (BCH), Cardano (ADA), Ethereum (ETH), Litecoin (LTC), Monero (XMR) и многие другие.
В марте уже сообщалось о том, что на YouTube появилась реклама вредоносного ПО, замаскированного под кошелек Electrum. Реклама, маскирующаяся под рекламу реального кошелька, даже приводила правильную ссылку (electrum.org) в видео, однако при нажатии на нее перенаправляла на скачивание вредоносного EXE-файла по очень похожему адресу (elecktrum.org). Согласно отчету исследователя безопасности под ником Frost, YouTube старается удалять мошеннические видео при получении жалоб на них, но новые аккаунты и видео со встроенным вредоносным ПО появляются, как грибы.
