Новый троян-шпион атакует игроков в онлайн-покер

AV-эксперты обнаружили malware, ориентированное на игроков в онлайн-покер — Win32/Spy.Odlanor. В статистике заражений преобладают пользователи из России и Украины, играющие на сайтах PokerStars и Full Tilt Poker.

Программа Odlanor позволяет хакерам получить доступ к информации об игроке и его картах, что обеспечивает неоспоримое преимущество в игре. Эксперты Eset обнаружили несколько версий трояна, наиболее ранняя из которых датирована мартом 2015 г.

Вектор распространения Odlanor типичен для большинства троянов. Пользователь загружает вредоносную программу под видом легального ПО из недостоверных источников. В частности, хакеры маскируют Odlanor под инсталляторы Daemon Tools или µTorrent, а также специализированные программы для покера Tournament Shark, Poker Calculator Pro, Smart Buddy и Poker Office.

На зараженном устройстве Odlanor пытается делать снимки экрана в том случае, если у пользователя запущены клиенты покер-румов PokerStars или Full Tilt Poker. Скриншоты вместе с идентификатором игрока отправляются на C&C сервер атакующим. Указанные сайты для игры в покер поддерживают функцию поиска пользователей по идентификаторам, так что хакер легко сможет подключиться к турнирным таблицам.

В наиболее новых версиях вредоносной программы в тело трояна Odlanor добавлены функционал кражи паролей пользователя — модуль WebBrowserPassView. Он специализируется на извлечении паролей из браузеров.

Odlanor взаимодействует со своим управляющим сервером через простой НТТР-протокол, адрес которого зашит в теле трояна. Часть сведений, идентифицирующих жертву, включая версию вредоносной программы и информацию о компьютере, отправляется в виде параметров URL. Другие данные, в том числе архив со скриншотами или украденными паролями, передается злоумышленникам в теле запроса POST HTTP-протокола.