Специалисты антивирусной компании ESET выяснили, что шпионское ПО Win32/Potao способно притворяться приложением TrueCrypt. Potao загружается в систему с помощью исполняемого файла TrueCrypt.exe, а в качестве загрузчика выступала скомпрометированная версия ПО для шифрования данных.
Модификация TrueCrypt распространялась через сайт truecryptrussia.ru, это же доменное имя использовалось в качестве одного из адресов управляющего сервера. Это может указывать на то, что сайт изначально был создан для реализации вредоносных операций, подчеркивают специалисты.
Первые вредоносные модификации TrueCrypt, содержащие бэкдор, датированы апрелем 2012 года. Они доставлялись на выборочной основе некоторым пользователям, что указывает на целенаправленность атак. Отмечается, что в ряде случаев Potao загружался на ПК другой программой, которая обнаруживается антивирусными продуктами ESET NOD32 как Win32/FakeTC.
About the author