...

четверг, 17 сентября 2015 г.

Вредоносная программа Odlanor специализируется на компрометации игроков в покер

Два года назад мы публиковали информацию о вредоносной программе PokerAgent (MSIL/Agent.NKY). Киберзлоумышленники использовали ее для компрометации учетных записей пользователей социальной сети Facebook, а также для кражи информации и ценных данных онлайн-игры Zynga Poker. В том случае социальная сеть Facebook была использована как платформа для распространения вредоносной программы.

Недавно наши аналитики обнаружили еще одну вредоносную программу – Win32/Spy.Odlanor, которая также ориентирована на игроков в покер. На сей раз речь идет о клиентах веб-сайтов игры в покер PokerStars и Full Tilt Poker.

Для атакующего ситуация выглядит довольно просто: после того как жертва успешно заразилась троянской программой, киберпреступник получит доступ к информации о ее игровых картах, таким образом, у него будет неоспоримое преимущество в игре. Ниже мы рассмотрим более подробно каким образом действует эта схема.

Как и в случае с другими троянами, пользователь может заразиться этой вредоносной программой, пытаясь загрузить то или иное полезное для него ПО из недостоверных источников. Злоумышленники маскируют Win32/Spy.Odlanor под инсталляторы легитимного ПО общего назначения, например, Daemon Tools или Torrent. Odlanor может быть замаскирован и под специализированные для покера программы, такие как Tournament Shark, Poker Calculator Pro, Smart Buddy, Poker Office.

После своего исполнения, Win32/Spy.Odlanor будет пытаться снять скриншоты экрана в том случае, если у пользователя запущены клиенты PokerStars и Full Tilt Poker. Скриншоты затем отправляются на удаленный сервер атакующему.

Эти снятые злоумышленниками скриншоты, в дальнейшем, могут быть получены от атакующих путем компрометации их данных. Данные включают в себя также идентификатор игрока. Оба вышеупомянутых сайта для игры в покер содержат функцию поиска игроков по их идентификаторам, таким образом, злоумышленник может довольно просто подключиться к необходимым ему игровым таблицам.

Мы не можем точно сказать, играет ли злоумышленник в игру вручную или для этого используется какой-либо другой автоматизированный способ.

В более новых версиях вредоносной программы, возможности по краже данных паролей пользователя были добавлены в тело трояна Oldanor путем интеграции в него одной из версий инструмента NirSoft WebBrowserPassView. Данный инструмент является нежелательным ПО и обнаруживается антивирусными продуктами ESET как Win32/PSWTool.WebBrowserPassView.B. Он специализируется на извлечении паролей из веб-браузеров.

Троянская программа Win32/Spy.Odlanor взаимодействует со своим C&C-сервером через простой HTTP-протокол. Его адрес жестко зашит в теле вредоносной программы. Часть данных, идентифицирующих жертву, таких как версия вредоносной программы и информация о компьютере, отправляется в виде параметров URL. Оставшаяся часть собранной информации, в том числе архив со снимками экрана или украденными паролями отправляется в теле запроса POST HTTP-протокола.

Ниже представлены два скриншота кода вредоносной программы в IDA Pro, который отвечает за поиск окон приложений с заголовками игр PokerStars и Full Tilt Poker.


Нам удалось обнаружить несколько версий этой вредоносной программы, наиболее ранняя из которых датируется мартом 2015 г. Данные нашей облачной технологии ESET LiveGrid показывают, что наибольшее количество обнаружений данной вредоносной программы было зафиксировано в странах Восточной Европы. Тем не менее, троян является потенциальной угрозой для любого игрока в онлайн-покер. От его действий пострадали пользователи в Чехии, Польше и Венгрии. На 16-е сентября мы фиксировали несколько сотен зараженных Win32/Spy.Odlanor пользователей.

Ниже указаны идентификаторы SHA-1 некоторых образцов вредоносной программы.

18d9c30294ae989eb8933aeaa160570bd7309afc
510acecee856abc3e1804f63743ce4a9de4f632e
dfa64f053bbf549908b32f1f0e3cf693678c5f5a

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.

Комментариев нет:

Отправить комментарий