Специалисты по кибербезопасности выяснили, что вирус заносится на устройства пользователей под видом виджета, который демонстрирует на рабочем столе курсы различных криптовалют. После установки виджета, который распространяется через специализированные криптовалютные форумы, вирус проникает в операционную систему, находит программы кошельков и считывает пароли.

Первые упоминания о вирусе-троянце, крадущем пароли с криптовалютных кошельков, появились осенью прошлого года. Как раз тогда же начали появляться в онлайн-чатах первые предложения для скачивания виджета с курсами. Пользователям предлагалось быть постоянно в курсе динамики цен цифровых активов и для этого поместить на рабочий стол виджет для отслеживания данных.

С первого взгляда заподозрить виджет на предмет принадлежности к вирусам-троянам сложно, потому что программа имеет настоящую подпись и показывает обещанную информацию о курсах, полностью отвечающую реальности. Но в действительности, программа несет в себе функции вируса, который скачивает, компилирует, а затем исполняет вредоносный код. Предположительно этот код загружен с персонального аккаунта разработчика на ресурсе Github. Одновременно загружается и троянец Trojan.PWS.Stealer.24943. В широких кругах он больше известен как AZORult. Вирус начинает выбирать из данных на компьютере пароли и другие данные, открывающие доступ к определенным ресурсам, в особенности к криптовалютным кошелькам.

Содержащий вирусы загрузочный файл до сих пор представлен для скачивания на ряде интернет-ресурсов, в том числе и на Github.