Новый троян-шпион атакует игроков в онлайн-покер

Безопасность Пользователю Интернет
мобильная версия
, Текст: Татьяна Короткова

Специалисты международной антивирусной компании Eset обнаружили шпионское ПО, ориентированное на игроков в онлайн-покер — Win32/Spy.Odlanor. Как сообщили CNews в Eset, в статистике заражений преобладают пользователи из России и Украины, играющие на сайтах PokerStars и Full Tilt Poker.

Программа Odlanor позволяет злоумышленникам получить доступ к информации об игроке и его картах, что обеспечивает неоспоримое преимущество в игре. Эксперты Eset обнаружили несколько версий трояна, наиболее ранняя из которых датирована мартом 2015 г. По данным облачной технологии Eset LiveGrid, большинство заражений приходится на страны Восточной Европы. Тем не менее, Odlanor представляет угрозу для каждого игрока в онлайн-покер, указали в компании.

Вектор распространения Odlanor типичен для большинства троянов. Пользователь загружает вредоносную программу под видом легального ПО из недостоверных источников. В частности, злоумышленники маскируют Odlanor под инсталляторы Daemon Tools или µTorrent, а также специализированные программы для покера Tournament Shark, Poker Calculator Pro, Smart Buddy и Poker Office.

На зараженном устройстве Odlanor пытается делать снимки экрана в том случае, если у пользователя запущены клиенты покер-румов PokerStars или Full Tilt Poker. Скриншоты вместе с идентификатором игрока отправляются на удаленный сервер атакующим. Указанные сайты для игры в покер поддерживают функцию поиска пользователей по идентификаторам, так что злоумышленник легко сможет подключиться к турнирным таблицам.

Статистика заражений Win32/Spy.Odlanor
Статистика заражений Win32/Spy.Odlanor

В наиболее новых версиях вредоносной программы в тело трояна Odlanor добавлены функционал кражи паролей пользователя — модуль WebBrowserPassView. Он специализируется на извлечении паролей из браузеров. Данный инструмент является нежелательным ПО и детектируется антивирусными продуктами Eset NOD32 как Win32/PSWTool.WebBrowserPassView.B.

Odlanor взаимодействует со своим управляющим сервером через простой НТТР-протокол, адрес которого зашит в теле трояна. Часть сведений, идентифицирующих жертву, включая версию вредоносной программы и информацию о компьютере, отправляется в виде параметров URL. Другие данные, в том числе архив со скриншотами или украденными паролями, передается злоумышленникам в теле запроса POST HTTP-протокола.

По информации Eset, Win32/Spy.Odlanor — не первая попытка компрометации игроков в онлайн-покер. В 2013 г. эксперты компании обнаружили вредоносную программу PokerAgent (MSIL/Agent.NKY), которая использовалась злоумышленниками для кражи учетных записей в сети Facebook и аккаунтов в приложении Zynga Poker. В качестве платформы для распространения трояна выступала сеть Facebook.