Было обнаружено новое вредоносное приложение, нацеленное на клиентов банков. Оно крадёт пароли и биткоины из кошельков пользователей. Открытие сделала занимающаяся информационной безопасностью компания Cyren и она описывает его как масштабную кампанию по распространения вредоносного кода. В данном случае речь идет о кейлоггере, который распространяется в виде вложений в электронных письмах. Отправителями этих писем якобы являются банки.
Письма рассылаются ботами из США и Сингапура, выдавая себя за письма от банков вроде Emirates. В письме обычно указываются финансовые сведения, такие как уведомления о сетевом платеже, тогда как во вложении указываются коды SWIFT для идентификации банков и финансовых институтов для передачи денежных средств. В результате письмо выглядит подлинным.
Вложения могут выглядеть как файлы формата PDF, на самом же деле это исполняемые файлы. При запуске файл удаляет себя и создаёт новый файл под названием filename.vbs в автозагрузке. Программа начинает собирать пароли и другую конфиденциальную информацию, в том числе из браузеров, FTP и почтовых клиентов, где таких сведений больше всего. Собираются пароли и имена пользователей, история браузера, куки и т.д. Если на компьютере есть криптографические кошельки, программа заглядывает в них. Она умеет красть множество валют, включая Bitcoin, Litecoin и Namecoin.
Поскольку это кейлоггер, весь набираемый на клавиатуре текст перехватывается, как и перемещение мыши. Пользователям следует с осторожностью относиться к получаемым письмам, особенно относительно платежей, которых они не ждали.