Специалисты компании Radware предупреждают о распространении малвари, которой было присвоено заглавие Stresspaint. Вредонос похищает учетные данные и куки сессий из Гугл Chrome, при этом прежде всего его заинтересовывают данные Фэйсбук.
Stresspaint был найден в составе бесплатного приложения для Виндовс, называющегося Relieve Stress Paint («Рисование для снятия стресса»). Данная графическая программа вправду работает и смотрится как законная. Например, приложение дозволяет пользователю «отрисовывать», повсевременно меняя размер и цвет линий с каждым новым кликом.
Relieve Stress Paint интенсивно рекламируется в спамерских письмах, поисковиках и соц сетях, распространяясь через аоӏ.net и picc.com (домены употребляют Уникод, так что реальный адрес аоӏ.net смотрится как xn--80a2a18a[.]net).Но пока пользователь отрисовывают и избавляет от стресса, в условиях приложение запускает DX.exe и updata.dll. 1-ый модуль дозволяет Stresspaint закрепиться в системе, 2-ой употребляется позднее для хищения данных.
Но пока пользователь отрисовывают и избавляет от стресса, в условиях приложение запускает DX.exe и updata.dll. 1-ый модуль дозволяет Stresspaint закрепиться в системе, 2-ой употребляется позднее для хищения данных.
Малварь добавляет в список ключ (вида HKLM\\SOFTWARE\\Майкрософт\\Виндовс\\CurrentVersion\\Run\\Updata), что дозволяет Stresspaint запускаться с каждой загрузкой системы. Ключ имеет значение DX.exe [parameter]. Спецы Radware сообщают, что они нашли малварь с 2-мя отличающимися параметрами, а означает, создатели Stresspaint, возможно, выслеживают две различные вредные кампании.
Очередной ключ списка (HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\RelieveStressPaint\guid) содержит GUID зараженной машинки в формате [5 непредвиденных буковка и цифр]HHMMSSYYYYMMDD.
Как уже было сказано выше, потом Stresspaint похищает (копирует) учетные данные и куки сессий из браузера Гугл Chrome (AppData\Local\Гугл\Chrome\User Data\Default\Login Data11111 и AppData\Local\Гугл\Chrome\User Data\Default\Cookies11111). Собранную данные вредонос кодирует и вместе с GUID жертвы стремительно передает на управляющий сервер преступников. В сумме вся вредная активность занимает наименее минутки.
Исследователи сообщают, что в оригинале контрольная панель на управляющем сервере показывает китайский язык, также имеет некоторые разделы для учетных данных Фэйсбук и Amazon (эта секция простаивает, из чего спецы делают вывод, что Фэйсбук пока интересует преступников больше).Собранные учетные данные и куки сессий для Фэйсбук интенсивно проверяются и используются авторами Stresspaint. Они могут употребляться для входа в чужие профили и сбора дополнительной инфы о жертве. В теории преступников интересует все: число друзей у жертвы в соцсети, информация про то, является ли пользователь админом каких-то групп, привязаны ли к учетной записи платежные способы.
По данным Radware, в текущее время от Stresspaint пострадали свыше 40 000 человек. При всем этом порядка 35 000 пользователей вредонос заразил за прошедшие 5 дней. Вся нужная информация уже была передана спецам Facebook, проводится расследование происшествия.