Вредонос, замаскированный под графическое приложение для снятия стресса, охотится за учетными данными Facebook

Эксперты компании Radware предупреждают о распространении малвари, которой было присвоено название Stresspaint. Вредонос похищает учетные данные и куки сессий из Google Chrome, причем в первую очередь его интересуют данные Facebook.

Stresspaint был обнаружен в составе бесплатного приложения для Windows, называющегося Relieve Stress Paint («Рисование для снятия стресса»). Эта графическая программа действительно работает и выглядит как легитимная. Так, приложение позволяет пользователю «рисовать», постоянно меняя размер и цвет линий с каждым новым кликом.

Relieve Stress Paint активно рекламируется в спамерских письмах, поисковиках и социальных сетях, распространяясь через ао?.net и picc.com (домены используют Unicode, так что настоящий адрес ао?.net выглядит как xn--80a2a18a[.]net).

Однако пока пользователь рисует и снимает стресс, на фоне приложение запускает DX.exe и updata.dll. Первый модуль позволяет Stresspaint закрепиться в системе, второй используется позже для хищения данных.

Малварь добавляет в реестр ключ (вида HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunUpdata), что позволяет Stresspaint запускаться с каждой загрузкой системы. Ключ имеет значение DX.exe [parameter]. Специалисты Radware пишут, что они обнаружили малварь с двумя отличающимися параметрами, а значит, авторы Stresspaint, вероятно, отслеживают две разные вредоносные кампании.

Еще один ключ реестра (HKCUSoftwareClassesVirtualStoreMACHINESOFTWARERelieveStressPaintguid) содержит GUID зараженной машины в формате [5 случайных буква и цифр]HHMMSSYYYYMMDD.

Как уже было сказано выше, затем Stresspaint похищает (копирует) учетные данные и куки сессий из браузера Google Chrome (AppDataLocalGoogleChromeUser DataDefaultLogin Data11111 и AppDataLocalGoogleChromeUser DataDefaultCookies11111). Собранную информацию вредонос шифрует и вместе с GUID жертвы быстро передает на управляющий сервер злоумышленников. В сумме вся вредоносная активность занимает менее минуты.

Исследователи пишут, что в оригинале контрольная панель на управляющем сервере демонстрирует китайский язык, а также имеет отдельные разделы для учетных данных Facebook и Amazon (эта секция пустует, из чего специалисты делают вывод, что Facebook пока интересует преступников больше).

Собранные учетные данные и куки сессий для Facebook активно проверяются и применяются авторами Stresspaint. Они могут использоваться для входа в чужие аккаунты и сбора дополнительной информации о жертве. В теории преступников интересует все: количество друзей у жертвы в социальной сети, информация о том, является ли пользователь администратором каких-либо групп, привязаны ли к учетной записи платежные методы.

По данным Radware, в настоящее время от Stresspaint пострадали более 40 000 человек. При этом порядка 35 000 пользователей вредонос заразил за последние пять дней. Вся необходимая информация уже была передана специалистам Facebook, проводится расследование инцидента.