За последнюю неделю группа кибермошенников заразила более 40 тыс. пользователей вредоносным ПО, похитив куки их сеансов в Google и учетные данные Facebook. Новый троян преступники замаскировали под программу для антистресс-рисования под названием Relieve Stress Paint.

Исследователи ИБ сообщили изданию BleepingComputer, что опасное приложение распространяется через домен, который использует символы Юникода для маскировки под сайт AOL.

Однако при преобразовании в Punycode адресная строка выглядит как xn--80a2a18a.net. Фальшивый URL мошенники используют для продвижения вредоноса через поисковые системы и спам-рассылки.

После установки программа выполняет все заявленные функции: позволяет рисовать, меняя цвет и толщину линии при каждом клике. При этом в фоновом режиме троян запускает следующие файлы:

  • Temp\\DX.exe — основной модуль вредоноса, который остается в системе постоянно;
  • Temp\\updata.dll — используется для кражи данных;
  • Desktop\RelieveStressPaint.lnk — ссылка для запуска изначально загруженного исполняемого файла, необходимая для поддержания кажущейся легальности;
  • AppData\Local\Google\Chrome\User Data\Default\Login Data11111;
  • AppData\Local\Google\Chrome\User Data\Default\Cookies11111.

В две последние папки вредонос копирует данные Chrome — в них по умолчанию хранятся куки и сохраненные пароли для учетных записей Facebook.

Кроме того, троян создает и модифицирует ряд разделов реестра, чтобы файл DX.exe Stresspaint запускался автоматически при включении компьютера. Затем он выполняет проверку соединения с определенным профилем в Instagram. Исследователи полагают, что это делается для получения инструкций или обновлений.

Каждый раз, когда жертва открывает Relieve Stress Paint или перезагружает свое устройство, вредонос начинает собирать учетные данные Facebook, сведения о количестве друзей и привязанных к профилю платежах, а также о том, используется ли профиль для управления группами. После этого информация отправляется на командный сервер.

Эксперты смогли отследить эти данные до панели управления, доступной на китайском языке. В ней есть секции для данных не только из Facebook, но и из Amazon. Последний раздел пока пустует — скорее всего, злоумышленники еще не начали атаку на пользователей интернет-магазина.

Вредонос разработан так, чтобы оставаться незаметным для антивирусных программ. Процесс копирования данных активируется не дольше чем на минуту. Троян не интересуется другими сведениями, а кража осуществляется только при запросе копий исходных файлов куки или регистрационных данных.

Пока неясно, что именно злоумышленники собираются делать с полученной информацией. Эксперты полагают, что мошенники могут продавать сведения на форумах в даркнете, использовать их для шпионажа, вымогательства или совершения покупок через Интернет при помощи чужих платежных данных.

За неделю вредоносная программа заразила более 40 тыс. пользователей, большинство из которых находятся во Вьетнаме, России, Пакистане, Индонезии и Украине.

Исследователи уведомили о трояне Facebook, а также обратились к регистратору поддельного домена аоӏ.net с просьбой о его закрытии. Директор социальной сети по связям с общественностью рекомендует пользователям проверять, с какого домена они получают электронные письма. Убедиться, что сообщение послал именно Facebook, можно на странице настроек аккаунта.

Категории: Аналитика, Вредоносные программы