最近、アナリストが別の悪意のあるプログラムを発見しました-Win32 / Spy.Odlanor 、これもポーカープレイヤーを対象としています。 今回は、PokerStarsおよびFull Tilt Poker Webサイトの顧客について話します。
攻撃者にとっては、状況は非常に単純に見えます。被害者がトロイの木馬に正常に感染した後、サイバー犯罪者は彼女のトランプに関する情報にアクセスできるようになり、したがって、彼はゲームで否定できない優位性を持ちます。 以下では、このスキームがどのように機能するかを詳細に調べます。
他のトロイの木馬の場合と同様に、ユーザーはこの悪意のあるプログラムに感染し、信頼できないソースから有用なソフトウェアをダウンロードしようとする可能性があります。 攻撃者は、Win32 / Spy.Odlanorを、Daemon ToolsやTorrentなどの正当な汎用ソフトウェアのインストーラーに偽装します。 Odlanorは、Tournament Shark、Poker Calculator Pro、Smart Buddy、Poker Officeなどの特別なポーカープログラムに変装することもできます。
実行後、Win32 / Spy.Odlanorは、ユーザーがPokerStarsおよびFull Tilt Pokerクライアントを実行している場合、スクリーンショットを撮ろうとします。 その後、スクリーンショットがリモートサーバー上の攻撃者に送信されます。
サイバー犯罪者が将来撮影するこれらのスクリーンショットは、データを侵害することで攻撃者から取得できます。 データには、プレーヤー識別子も含まれます。 前述の両方のポーカーをプレイするサイトには、識別子でプレーヤーを検索する機能が含まれているため、攻撃者は必要なゲームテーブルに簡単に接続できます。
攻撃者が手動でゲームをプレイしているか、他の自動化された方法を使用しているかを確実に言うことはできません。
マルウェアの新しいバージョンでは、NirSoft WebBrowserPassViewツールのバージョンの1つを統合することにより、ユーザーパスワードデータを盗む機能がOldanorトロイの木馬の本体に追加されました。 このツールは不要なソフトウェアであり、 Win32 / PSWTool.WebBrowserPassView.BなどのESETウイルス対策製品によって検出されます。 彼はWebブラウザからパスワードを抽出することを専門としています。
Win32 / Spy.Odlanorトロイの木馬プログラムは、単純なHTTPプロトコルを介してC&Cサーバーと対話します。 そのアドレスはマルウェアの本体に組み込まれています。 マルウェアのバージョンやコンピューター情報など、被害者を識別するデータの一部は、URLパラメーターとして送信されます。 スクリーンショットや盗まれたパスワードを含むアーカイブなど、収集された残りの情報は、HTTPプロトコルのPOSTリクエストの本文で送信されます。
以下はIDA Proのマルウェアコードの2つのスクリーンショットです。IDAProは、PokerStarsおよびFull Tilt Pokerのゲームのタイトルを持つアプリケーションウィンドウを見つける役割を果たします。
クラウドテクノロジーESET LiveGridのデータは、このマルウェアの最大数の検出が東ヨーロッパの国で記録されたことを示しています。 ただし、トロイの木馬は、あらゆるオンラインポーカープレーヤーにとって潜在的な脅威です。 彼の行動から、チェコ共和国、ポーランド、ハンガリーのユーザーに影響を与えました。 9月16日に、数百の感染したWin32 / Spy.Odlanorユーザーを記録しました。
一部のマルウェアサンプルのSHA-1識別子は以下のとおりです。
18d9c30294ae989eb8933aeaa160570bd7309afc
510acecee856abc3e1804f63743ce4a9de4f632e
dfa64f053bbf549908b32f1f0e3cf693678c5f5a