Специалисты компании Zscaler нашли в «даркнете» информацию о продаже нового трояна под названием Saefko. Вредитель способен похитить на компьютере учетные данные, информацию о криптовалютных кошельках и банковских реквизитах.
Как только троянская программа попадает в систему «жертвы», она самостоятельно распаковывается в директорию AppData и прописывается в автозапуске, чтобы постоянно находиться в системе, загружаясь при каждом перезапуске системы. После этого паразит осторожно проверяет подключение к сети и пытается найти и извлечь информацию из браузера Google Chrome для составления списка данных, подходящие под определенные требования.
У Saefko имеется длинный и точный список параметров, которые необходимо получить и передать на управляющий сервер. В первую очередь, к ним относятся данные о наличии криптовалюты, а также информация о посещении социальных медиа и финансовых сайтов.
Вредоносный код проверяет логи большого количества ресурсов, включая социальные сети, электронную почту, Steam, Twitch, YouTube и другие онлайн сервисы. Затем паразит составляет финансовый профиль пользователя на основе баланса электронных кошельков, банковских карт и данных о совершенных покупках.
Вся собранная информация передается злоумышленникам. Они, в свою очередь, обрабатывают полученные данные и при необходимости дают «зеленый свет» для дальнейшей атаки, используя различные модули для распространения через любые USB-носители, которые будут обнаружены в операционной системе. Также известно, что троян способен подключаться к серверу для получения дополнительных инструкций.