Den sen tidigare kända lösenordsstjälande trojanen AZORult har i sin senaste skepnad maskerat sig som Google Update, alltså filen som normalt ligger i katalogen C:\Program Files\Google\Update\GoogleUpdate.exe på windows-system. Om trojanen infekterar ett Windows-system ersätter den den ordinarie GoogleUpdate.exe-filen. När offret kör Google Update kommer alltså trojanen ta över systemet, skriver Bleeping Computer.

AZORult cirkulerar dels som en fristående trojan, och försöker då extrahera så mycket data om det infekterade systemet som möjligt, men trojanens kod ingår även i kombination med annan skadlig kod för att sprida gisslanprogram och skadlig kod som stjäl kryptovaluta från digitala plånböcker.

Den falska versionen av GoogleUpdate.exe är signerad med ett legitimt certifikat, men certifikatet är inte utställt på Google, utan på ett företag som heter Singh Agile Content Design Limited. Det är också det enklaste sättet att kontrollera äktheten. Om du får en GoogleUpdate.exe godta inte bara att filen är signerad av ett legitimt certifikat, utan till vem detta certifikat är utställt. I allt annat ser den falska filen väldigt äkta ut, så det är enkelt att bli lurad om man inte verkligen kontrollerar certifikatet.

Läs också:
Nya hotet mot din dator – så skyddar du dig mot ransomware
Google Chrome stoppar dolda nedladdningar