Odlanor - шкодная праграма для гульцоў у покер

Нядаўна нашы аналітыкі выявілі яшчэ адну шкоднасную праграму – Win32/Spy.Odlanor, якая таксама арыентавана на гульцоў у покер. На гэты раз ідзе гаворка пра кліентаў вэб-сайтаў гульні ў покер PokerStars і Full Tilt Poker.

Для нападніка сітуацыя выглядае даволі проста: пасля таго як ахвяра паспяхова заразілася троянскай праграмай, кіберадзін атрымае доступ да інфармацыі пра яе гульнявыя карты, такім чынам, у яго будзе неабвергальнае перавага ў гульні. Ніжэй мы разгледзім больш падрабязна якім чынам дзейнічае гэтая схема.

Як і ў выпадку з іншымі троянамі, карыстальнік можа заразіцца гэтай шкоднаснай праграмай, імкнучыся загрузіць тое ці іншае карыснае для яго ПЗ з ненадзейных крыніц. Зламыснікі маскіруюць Win32/Spy.Odlanor пад інсталятары легітымнага ПЗ агульнага прызначэння, напрыклад, Daemon Tools або Torrent. Odlanor можа быць замаскіраваны і пад спецыялізаваныя для покера праграмы, такія як Tournament Shark, Poker Calculator Pro, Smart Buddy, Poker Office.

Пасля свайго выканання, Win32/Spy.Odlanor будзе спрабаваць зрабіць скрыншоты экрана ў тым выпадку, калі ў карыстальніка запушчаны кліенты PokerStars і Full Tilt Poker. Скрыншоты затым адпраўляюцца на аддалены сервер нападніка.

Гэтыя зробленыя зламыснікамі скрыншоты, у далейшым, могуць быць атрыманы ад нападнікаў шляхам кампраметацыі іх дадзеных. Дадзеныя ўключаюць таксама ідэнтыфікатар гульца. Абедзве вышэйзгаданыя сайты для гульні ў покер ўтрымліваюць функцыю пошуку гульцоў па іх ідэнтыфікатарах, такім чынам, зламыснік можа даволі проста падключыцца да неабходных яму гульнявых сталоў.

Мы не можам дакладна сказаць, ці гуляе зламыснік у гульню ўручную або для гэтага выкарыстоўваецца які-небудзь іншы аўтаматызаваны спосаб.

У больш новых версіях шкоднаснай праграмы магчымасці па крадзяжы дадзеных пароляў карыстальніка былі дададзены ў цела трояна Oldanor шляхам інтэграцыі ў яго адной з версій інструмента NirSoft WebBrowserPassView. Гэты інструмент з’яўляецца непажаданым ПЗ і выяўляецца антывіруснымі прадуктамі ESET як Win32/PSWTool.WebBrowserPassView.B. Ён спецыялізуецца на здабыванні пароляў з вэб-браўзераў.

Троянская праграма Win32/Spy.Odlanor узаемадзейнічае са сваім C&C-серверам праз просты HTTP-пратакол. Яго адрас жорстка ўшыт у целе шкоднаснай праграмы. Частка дадзеных, якія ідэнтыфікуюць ахвяру, такая як версія шкоднаснай праграмы і інфармацыя пра кампутар, адпраўляецца ў выглядзе параметраў URL. Астатняя частка сабранай інфармацыі, у тым ліку архіў са здымкамі экрана або скрадзенымі паролямі адпраўляецца ў целе запыту POST HTTP-пратаколу.

Ніжэй прыведзены два скрыншоты кода шкоднаснай праграмы ў IDA Pro, які адказвае за пошук вокнаў прыкладанняў з загалоўкамі гульняў PokerStars і Full Tilt Poker.

Нам удалося выявіць некалькі версій гэтай шкоднаснай праграмы, самая ранняя з якіх датаваная жнівень 2015 г. Дадзеныя нашай воблачнай тэхналогіі ESET LiveGrid паказваюць, што найбольшая колькасць выяўленняў гэтай шкоднаснай праграмы было зафіксавана ў краінах Усходняй Еўропы. Тым не менш, троян з’яўляецца патэнцыйнай пагрозай для любога гульца ў анлайн-покер. Ад яго дзеянняў пацярпелі карыстальнікі ў Чэхіі, Польшчы і Венгрыі. На 16-е верасня мы фіксавалі некалькі сотняў заражаных Win32/Spy.Odlanor карыстальнікаў.

Ніжэй пазначаныя ідэнтыфікатары SHA-1 некаторых узораў шкоднаснай праграмы.

18d9c30294ae989eb8933aeaa160570bd7309afc
510acecee856abc3e1804f63743ce4a9de4f632e
dfa64f053bbf549908b32f1f0e3cf693678c5f5a

Крыніца: habrahabr

а я думаю, чаму я прайграю  😁