Более 28 тысяч человек из стран СНГ стали жертвами крупномасштабной атаки вредоносного ПО. Злоумышленники использовали видео на YouTube для распространения своих программ, приглашая пользователей скачать заархивированные файлы, которые запускали процесс заражения.
Мошенники маскировали пиратское офисное ПО, читы для игр и боты для автоматической торговли под полезные программы.
Инфицирование начиналось с распаковки архива. После ввода пароля запускалась установка вредоносных скриптов и файлов, которые изменяли работу системных процессов Windows. Программа проверяла наличие антивируса на компьютере и останавливала свою деятельность, если обнаруживала процессы анализа.
Затем вредоносное ПО устанавливало связь с сервером управления и начинало собирать информацию о системе. Одной из функций программы было отслеживание буфера обмена, чтобы заменять скопированные адреса кошельков криптовалют на адреса злоумышленников. Как результат, мошенники уже успели перехватить транзакции на сумму 6000 долларов.