Вредоносный сайт, домен которого зарегистрирован в феврале, находится в поисковой выдаче и продолжает активно продвигаться среди геймеров. Чтобы поддельный ресурс вызывал больше доверия, его авторы добавили не только кнопку скачивания архива с якобы утилитой, но и ссылку на чат поддержки в Telegram. Однако вместо обещанного инструмента для обхода блокировок на устройство жертвы устанавливаются сразу две вредоносные программы — стилер Arcane и майнер Monero. Пока стилер собирает данные из системы, пользователь видит уведомление о якобы происходящей загрузке. Полученная вредоносом информация затем может использоваться злоумышленниками для доступа к аккаунтам жертвы и другой конфиденциальной информации. Майнер же проводит скрытый майнинг криптовалют за счёт мощностей устройства жертвы.

«Злоумышленники регулярно используют новостную повестку и темы, которые вызывают у людей наибольший интерес или беспокойство. Например, в данном случае они играют на желании пользователей получить доступ к привычным сервисам. Под такими предлогами мошенники нередко распространяют вредоносное ПО. Стилеры, подобные Arcane, могут собирать большие объёмы разнообразной информации — от учётных данных до конфигурационных файлов различных приложений. При этом функциональность таких программ может меняться от версии к версии», — комментирует Леонид Безвершенко, старший эксперт Kaspersky GReAT.