Рекламный троян AdService крадет данные из учетных записей в Facebook и Twitter

image

Теги: вредоносное ПО, AdService, Chrome, Facebook, Twitter

Вредонос использует метод подмены оригинальных DLL-библиотек Chrome для кражи информации из учетных записей пользователей в Facebook и Twitter.

Эксперты заметили новую кампанию по распространению трояна AdService, похищающего пароли от учетных записей. Вредонос, распространяющийся в составе комплектов рекламного ПО, использует метод подмены оригинальных DLL-библиотек (динамически подключаемая библиотека) Chrome для загрузки и хищения информации из учетных записей пользователей в Facebook и Twitter.

AdService помещает вредоносную версию winhttp.dll в папку C:\Program Files (x86)\Google\Chrome\Application. Таким образом при запуске Chrome процесс chrome.exe загрузит вредоносную winhttp.dll вместо оригинальной.

После запуска браузера троян связывается с удаленным сервером для отправки/получения информации и пытается подключиться к Facebook и Twitter с целью хищения различной информации, в том числе сведений о настройках профиля, закладках, используемых методах оплаты и сохраненных данных кредитных карт (типе карты, последних 4 цифрах карты, дате окончания срока ее действия и привязанном к карте почтовом индексе), списке друзей, адресе электронной почты и пр.

Ранее специалисты «Лаборатории Касперского» обнаружили новый мобильный рекламный троян Xafekopy, который незаметно для своих жертв подписывает их на различные платные сервисы. Вредонос осуществляет подписку посредством кликов по ссылкам или SMS-сообщений. В первом случае троян даже способен обходить CAPTCHA. Xafekopy нацелен преимущественно на жителей России и Индии.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus