Создатель и владелец ИБ-ресурса BleepingComputer.com Лоуренс Абрамс (Lawrence Abrams) обнаружил еще одно свидетельство потенциальной опасности adware (ПО для показа рекламы). Троянская программа AdService, предназначенная для сбора информации о пользователях Facebook и Twitter, в настоящее время активно распространяется в составе adware-комплектов и загружается при запуске Chrome путем подмены библиотеки, используемой этим браузером.

«Если для исполнения какой-либо программы требуется DLL, то программа либо сама загружает ее из конкретного места, либо лишь определяет DLL и полагается на поиск Windows, — поясняет Абрамс в своей записи на BleepingComputer.com. — В последнем случае Windows пытается найти DLL, используя путь поиска файла, и в первую очередь заглядывает в папку с выполняемым пакетом. Если запрошенная DLL найдена, она автоматически загружается в программу».

Этим обстоятельством и пользуется обнаруженный экспертом похититель информации. Он помещает в папку C:\Program Files (x86)\Google\Chrome\Application вредоносную версию winhttp.dll — библиотеки, которую Chrome под тем же именем обычно грузит из C:\Windows\system32. В результате при запуске chrome.exe исполняет вредоносную DLL вместо легитимной.

Соединившись с удаленным сайтом, AdService начинает обмен. На Facebook и Twitter троянец открывает страницы настроек, закладок, профилей и приема платежей, пытаясь украсть информацию, интересную для злоумышленников. Это может быть список друзей в социальной сети, персональные настройки, email-адрес и телефонный номер жертвы, часто посещаемые страницы или данные кредитной карты.

К счастью, на настоящий момент AdService детектируют 47 из 64 антивирусов из коллекции VirusTotal. Представляя свою находку, Абрамс предупреждает: последние годы устанавливаемый adware-инсталлятором код далеко не всегда влечет вызывающий раздражение показ рекламных баннеров. Эксперт неоднократно наблюдал, как adware, помимо похитителей информации, устанавливает майнеры, кликеры, перехватчиков браузеров и даже руткиты.

Так, в начале июня много шума наделал отчет Check Point об атаках Fireball — угонщика браузеров, созданного китайской маркетинговой компанией Rafotech. В июле был обнаружен вредоносный вариант расширения Copyfish для Chrome, который внедрял рекламные баннеры в открываемые страницы. Ранее, в апреле, Абрамс проанализировал образец зловреда SmartService, загружаемого на Windows вместе с рекламным ПО и защищающего его путем блокировки антивирусов. Об активизации скрытого майнинга криптовалюты недавно предупредила «Лаборатория Касперского», отметив, что основной способ распространения подобных программ — это установка в комплекте с adware.

Категории: Аналитика, Вредоносные программы, Главное