Según el informe, el anfitrión para la transmisión de estos virus es un sitio web que imita el sitio web de Cryptohopper, un sitio web donde los usuarios pueden programar herramientas para realizar operaciones de comercio automáticas de criptomonedas.
Cuando se visita el sitio scam, se informa de que descarga automáticamente un instalador setup.exe, que infectará el equipo una vez que se ejecute. El panel de configuración también mostrará el logotipo de Cryptohopper en otro intento de engañar al usuario.
Se dice que al ejecutar el instalador se instala el troyano Vidar de robo de información, que además instala dos troyanos Qulab para minería y secuestro de portapapeles. El clíper y los mineros se despliegan una vez por minuto para recoger datos de forma continua.
El propio troyano Vidar que roba información intentará obtener datos del usuario, como cookies del navegador, historial del navegador, información de pago del navegador, credenciales de inicio de sesión guardadas y billeteras de criptomonedas. La información se compila periódicamente y se envía a un servidor remoto, tras lo cual se elimina la compilación.
Fuente: https://es.cointelegraph.com/news/new-malware-campaign-spreads-trojans-through-clone-crypto-trading-website