Специалисты компании «Доктор Веб» изучили модификации троянца Trojan.PWS.Stealer.23012, который крал личные данные пользователей YouTube, и нашли автора вредоносных программ. Результаты расследования компания приводит в своем блоге.
Вредоносное программное обеспечение распространяется через ссылки в комментариях к роликам на YouTube, посвященным использованию программ, облегчающих прохождение компьютерных игр — читов и трейнеров. В комментариях содержатся ссылки на «Яндекс.Диск», которые якобы ведут на полезные приложения и путеводители по чит-кодам, а на самом деле раздают троянца-шпиона. Для убедительности ссылки на YouTube сопровождались одобрительными комментариями, оставленными с поддельных аккаунтов.
Три модификации вируса крали с устройств сохраненные пароли и файлы cookies браузеров Google Chrome, Opera, Яндекс.Браузер, Vivaldi, Kometa, Orbitum, Comodo, Amigo и Torch. Под угрозой оказалась информация из мессенджера Telegram, приложения Steam и другие данные.
Информация в коде этих троянцев помогла обнаружить автора вредоносных программ.
Им оказался человек под ником «Енот Погромист», который не только разрабатывает троянцев, но и продает их на одном популярном сайте. Он также ведет YouTube-канал, посвященный разработке вредоносного программного обеспечения, и имеет собственную страницу на GitHub, где выкладывает исходный код созданных им зловредов. Специалисты также вычислили номер его телефона, привязанный к аккаунту в Telegram, и город проживания. Вычислить клиентов «Енота Погромиста» также не составило проблемы, так как логины и пароли от облачных хранилищ, в которые загружаются архивы с украденными файлами, «зашиты» в тело самих троянцев.