Злоумышленники выдают троян Remtasu за инструмент для взлома Facebook

ИБ-эксперты компании ESET сообщили о трояне, замаскированном под новый инструмент для компрометации учетных записей в Facebook. Решив с помощью данного ПО взломать чужой аккаунт, пользователь сам становится жертвой хакеров. Исследователи предупреждали о Remtasu еще несколько лет назад, однако количество его жертв продолжает расти.

Варианты Win32/Remtasu.Y чаще всего обнаруживаются в странах Южной Америки, в большинстве случаев в Колумбии, а также в Таиланде и Турции. В рамках недавно зафиксированной кампании вредонос выдается за инструмент для взлома чужих учетных записей в Facebook. В отличие от других представителей семейства, данный образец Remtasu распространяется не посредством фишинговых писем, а через загрузки с сайта. Пользователь сам добровольно загружает и выполняет вредоносный файл.

Троян способен фиксировать нажатия на клавиатуре и похищать информацию из буфера обмена. Все полученные с инфицированной системы данные сохраняются локально в файле и затем отправляются на FTP-сервер. В отдельной папке внутри папки system32 создается копия вредоноса, благодаря чему он остается на системе даже после перезагрузки. Папка InstallDir скрывается в системных файлах, поэтому пользователю сложно получить к ней доступ.