Сразу два вредоносных приложения, ориентированные на наивных (или отчаявшихся) пользователей обнаружили эксперты в области информационной безопасности. Первый инструмент предлагает невозбранно взломать чужой аккаунт Facebook, второй — получить «god mode» в популярной игре Hearthstone компании Blizzard.
Инструмент, предлагающий взлом аккаунтов Facebook, обнаружили эксперты компании ESET. Видимо, с годами поисковых запросов «как взломать Facebook моей девушки?» или «мой парень мне изменяет, как взломать Facebook?!» не становится меньше, тема по-прежнему актуальна. В принципе, можно сказать, что инструмент делает именно то, что обещает – он взламывает. Только не чужой Facebook, а незадачливого «хакера», который решил его использовать.
Под видом инструмента для взлома Facebook распространяется троян Win32/Remtasu.Y. Ранее вредоносы этого семейства активно использовались в ходе спам-кампаний и распространялись через зараженные файлы Microsoft Office. Теперь хакеры решили сделать упор на социальную инженерию. Как только жертва запускает приложение hackfacebook.exe, на ее машину устанавливается кейлоггер. Собранные данные малварь передает на удаленный FTP-сервер, принадлежащий злоумышленникам.
Самое неприятное — Remtasu остается в системе даже после «убийства» соответственных процессов, файлов и перезагрузки устройства. Дело в том, что эта версия трояна сохраняет свои копии и за пределами папки system32, специально усложняя задачу по своему обнаружению. К тому же имя процесса вовсе не обязательно совпадает с именем файла малвари, как было ранее (к примеру, csrss.exe).
Всего специалисты зафиксировали 24 различных варианта Win32/Remtasu. В основном от малвари страдают жители Колумбии, Таиланда, Мексики и Перу.
Hearthstone
Приложение Hearthstone Hack Tool v2.1, рассчитанное на любителей бесплатного сыра, заметили эксперты Symantec. Малварь распространяется под видом аддона для бесплатной карточной игры Hearthstone компании Blizzard. Аддон сулит пользователям легкие способы получения гор внутриигрового золота и пыли. Стоит сказать, что подобные решения относятся к разряду читов, и их использование Blizzard не одобряет.
Но в данном случае, установив аддон, любитель халявы накажет сам себя. Золотых гор жертва не получит, зато получит вредоноса Trojan.Coinbitcli. Малварь внимательно следит за содержимым буфера обмена жертвы. Как только в буфере оказывается адрес биткоин-кошелька, троян проводит поиск по своим базам, содержащим более 10 000 адресов, и подменяет адрес в буфере на похожий. В результате этой подмены жертва переводит свои средства на подставной кошелек мошенников.
Также специалисты Symantec пишут, что малварь распространяется и в составе других аддонов для Hearthstone, в частности — Hearthstone Deck Tracker. Здесь содержится троян Backdoor.Breut — мощный шпионский инструмент, ранее использовавшийся для хищения финансовой информации и корпоративных секретов в Индии, США и Великобритании. Backdoor.Breut устанавливает бэкдор на зараженное устройство, протоколирует все нажатия клавиш, крадет логины и пароли, а также перехватывает данные вебкамеры.
Фото: Julian Stratenschulte