גרסה חדשה של תוכנות זדוניות capitalinstall נמצאת בשימוש בהתקפות ממוקדות על מגוון של ארגונים, במיוחד אלה בענפי הבריאות והקמעונאות. המטרה העיקרית של תוכנות זדוניות capitalinstall היא להתקין חבילת פרסום בשם Linkury המשמש לחטיפת הפעלות דפדפן במכשירי Windows. כאשר מותקנת תוכנת Linkury, תוצאות חיפוש באינטרנט ניתנות לשינוי כדי להציג תוצאות שלא היו מוצגות אחרת. מכונה נגועה תציג פרסומות לא רצויות, אך תוכל גם להוריד תוכנות לא רצויות, שחלקן עשויות להוות סיכון אבטחה.
תוכנת Capitalinstall כבר מקושרת לאתרים זדוניים שונים, אם כי חבילת פרסום הוא למעשה מתארח על אחסון בלוג Azure אשר לעתים קרובות מהימן על ידי ארגונים הוא לעתים קרובות ברשימה הלבנה. התוכנה הזדונית מותקנת באמצעות קובץ הפעלה שנארז בתוך קובץ ISO, כאשר קובץ ה- ISO מתארח באתרים המציעים מפתחות לפתיחת תוכנה פופולארית כגון Adobe Creative Cloud.
עם הפעלת הקובץ, סדק עבור התוכנה טוענת להתקנה ואת המשתמש מופנה לאתר שבו הם דחקו להתקין תוכניות אחרות הרחבות דפדפן, כגון כורים cryptocurrency, עם סיבות מפתה שונים הניתנים להתקנת תוכניות אלה .
שיטה זו של הפצת תוכנה לא רצויה ופוגעת פוטנציאלית צפויה לגדול בפופולריות, שכן היא מציעה דרך לעקוף פתרונות אבטחה על ידי ניצול אמון מובנה בספקי אחסון בענן.
פתרון סינון אינטרנט יכול להציע הגנה מפני הורדות של תוכניות לא רצויות על ידי מניעת משתמשי קצה לבקר באתרים זדוניים פוטנציאליים. WebTitan סורקת ומבצעת הערכה של דפי אינטרנט בזמן אמת ומונעת ממשתמשים גישה לאתרים זדוניים ולאתרים אחרים המפרים את מדיניות השימוש באינטרנט. עם WebTitan במקום, משתמשים יכולים למנוע מאתרי אינטרנט המשמשים להפצת תוכניות לא רצויות (PUP) ותוכנות זדוניות.
בנוסף לבקרות טכניות, חשוב לכסות את הסיכונים של התקנת תוכנה לא מורשית בהדרכה מודעות אבטחה, במיוחד השימוש בסדקים רישיון תוכנה. קבצי הפעלה אלה בדרך כלל יש תוכנות ריגול, תוכנות פרסום, וצורות אחרות של תוכנות זדוניות ארוזים לתוך המתקינים.