ESET сообщает о появлении нового шпионского ПО Win32/Potao. Одним из главных путей его распространения является компрометация приложения для шифрования данных TrueCrypt.

В ходе технического анализа этого ПО, специалистами компании было выявлено, что заражение компьютеров происходило при помощи другого приложения. Было установлено, что Potao попадает в систему посредствам файла TrueCrypt.exe, который и является загрузчиком вируса. Модифицированная версия TrueCrypt была размещена на сайте truecryptrussia.ru. Эксперты ESET установили, что этот домен использовался в качестве адреса управляющего сервера, а это означает, что сайт изначально предполагался как источник распространения вредоносных операций.

Первые модифицированные версии TrueCrypt, содержащие Win32/Potao, были выявлены в апреле 2012 года. Выборочно они заражали компьютеры пользователи, что говорит о целенаправленных атаках.

Эксперты ESET считают, что в ряде случаев Potao попадал на ПК с другой програмой. Выявить вредоносное ПО можно при помощи ESET NOD32 как Win32/FakeTC.