На YouTube активно распространяются ролики, которые рекламируют бесплатный генератор биткоинов. Однако в этом генераторе встроен троян Qulab, сообщает портал BleepingComputer.
В ролике демонстрируется программа, которая якобы позволяет легко зарабатывать бесплатные биткоины, а в описании дается ссылка на скачивание этой программы. Если установить программу, которая на самом деле ничего не генерирует, то на компьютер перебирается вирус.
Троян крадет историю браузера, сохраненные в браузере пароли, cookie-файлы, данные из FileZilla, Discord и Steam. Он также содержит код для кражи файлов с расширениями .txt, .maFile и .wallet.
Кроме этого троян сканирует буфер обмена и распознает криптоадреса. Если адрес скопирован, то в буфере он подменяется адресом мошенников. Когда пользователь вставляет подмененный адрес в какое-либо поле, то средства уходят на адрес мошенников. Исследователи отмечают, что эта простая подмена работает довольно эффективно, так как адреса длинные и пользователи визуально не замечают разницу.
Троян работает с широким списком крипто-адресов и может распознавать адреса биткоина, Bitcoin Cash, Cardano, Ethereum, Litecoin, Monero и многие другие. Кроме этого троян затрагивает Yandex Money, QIWI и ссылки для обмена в Steam.
Исследователи сообщили, что каждый раз, когда они связываются с YouTube для удаления роликов, мошенники продолжают их массово публиковать под разными названиями и аккаунтами.