Разработчики криптовалюты Syscoin обнаружили зловредную копию установщика Windows Syscoin 3.0.4.1, которая была доступна через скомпроментированную страницу Syscoin на Github. Установщик содержал вредоносный код (Trojan:Win32/Feury.B!cl). При запуске фейкового установщика файл с именем re.exe сохранялся в локальной папке temp (C:\Users\user\AppData\Local\Temp).
Разработчики целенаправленно заразили дешёвый ноутбук, который не использовался для работы. После перезагрузки компьютер запросил ввести пароль для входа, хотя перед этим он не был запаролен. До входа в систему разработчики заметили запуск файла под названием 402232.exe, который переименовал себя в Antimalware Service Executable в диспетчере задач. После перезагрузки он был защищён паролем. По словам разработчиков, это, скорее всего, кейлоггер или вирус-вымогатель.
Команда Syscoin сообщила, что, согласно отчётам Windows Defender SmartScreen, AVG и Kaspersky распознают файл syscoincore-3.0.4-win64-setup.exe как потенциальный вирус. Расследование показало, что файл установщика на Github для версии 3.0.4.1 был заменён вредоносной версией с помощью взломанного аккаунта Github.
Жертвами вируса могут оказаться пользователи Windows, которые загрузили и запустили этот установщик в период с 9 по 13 июня. На данный момент файл удалён из Github и заменён на официальный. Сразу же после обнаружения вируса разработчики Syscoin установили для аккаунтов двухфакторную аутентификацию и провели верификацию хешей подписей.