Организация ESET рассказала о выполнении технологического теста разведывательного ПО Win32/Potao. Одним из самых любопытных путей его распространения считается компрометация дополнения для зашифровки данных TrueCrypt.

Ключевая страничка веб-сайта truecryptrussia.ru

Докладывается, что в ходе обучения, эксперты компании нашли инфицирования ПК, которые выполнялись при помощи иного дополнения. Например, выявлено, что Potao угождает в технологию при помощи документа TrueCrypt.exe, являющийся загрузчиком вредной платформы. Измененная модификация TrueCrypt распространялась через веб-сайт truecryptrussia.ru. Также специалисты ESET определили факт применения этого домена в роли одного из адресов правящего компьютера, значит, стоит представить, что веб-сайт первоначально был основан для реализации вредных операций.

Первые версии TrueCrypt, имеющие Win32/Potao, вышли в начале апреля 2012 года. Они частично передавали ПК определенных клиентов, что дает возможность сделать выводы о целеустремленных атаках.  

По заявлениям специалистов ESET, в ряде всевозможных случаев Potao грузился на ПК с иной платформой. Вредное дополнение устанавливается средствами противовирусной обороны ESET NOD32 как Win32/FakeTC.