据BleepingComputer消息，安全研究员0xffff0800在下载一部黑客电影“The Girl in the Spider s Web”的预告片时，发现所下载的并不是电影文件，而是一个执行PowerShell命令.lnk快捷方式。研究员发现，这其实是一个名为CozyBear的恶意软件。如果遭到攻击，用户的Google和Yandex搜索页面会出现恶意推广的内容。如果用户访问维基百科，会出现虚假的公告，内容是维基百科现在接受数字货币捐赠，并附上ETH和BTC地址。更严重的是，只要用户的网页上出现BTC和ETC地址，都会被篡改成恶意软件自带的地址。由于钱包地址是一大串随机字符，大多数用户很难注意到这一情况。