Компания ESET сообщила о проведении технического анализа шпионского программного обеспечения Win32/Potao. Одним из наиболее интересных путей его распространения является компрометация приложения для шифрования данных TrueCrypt.

Сообщается, что в процессе изучения, специалисты компании обнаружили заражения компьютеров, которые выполнялись с помощью другого приложения. В частности, было установлено, что Potao попадает в систему с помощью файла TrueCrypt.exe, который является загрузчиком вредоносной программы. Модифицированная версия TrueCrypt распространялась через сайт truecryptrussia.ru. Также эксперты ESET установили факт использования этого домена в качестве одного из адресов управляющего сервера, следовательно, стоит предположить, что сайт изначально был создан для реализации вредоносных операций.

Первые модификации TrueCrypt, содержащие Win32/Potao, появились в апреле 2012 года. Они выборочно заражали компьютеры некоторых пользователей, что позволяет сделать выводы о целенаправленных атаках.

По заявлениям экспертов ESET, в ряде случаев Potao загружался на ПК с другой программой. Вредоносное приложение определяется средствами антивирусной защиты ESET NOD32 как Win32/FakeTC.