Если вы часто зависаете в онлайне, но давненько не проверяли свой ПК на наличие вирусов и вредоносных программ, то, пожалуй, наступило самое время сделать это.
В свое время покерному комьюнити было известно об PokerAgent — вредоносной программе, которая была использована злоумышленниками для получения ценной информации и компрометации учетных записей пользователей Фейсбука. Тогда именно социальная сеть послужила платформой для распространения вредоносной программы. Что может ждать каждого на этот раз?
Все что вам нужно знать об Odlanor
На днях была обнаружена очередная угроза, направленной на целевую аудиторию игроков в онлайн покер, в частности пользователей покер-румов PokerStars и Full Tilt. Числится она как Win32/Spy.Odlanor и первый раз многие узнали о ней 19 апреля 2015 года.
Работает программа по достаточно простой системе – после того, как игрок удачно “скушал” троянский файл, интернет мошенник получает доступ к информации о карманных картах, а вместе с этим огромное преимущество в игре. Эксперты ESET уже успели окрестить Odlanor настоящим кошмаром для многих покеристов.
В прошлую пятницу представители Amaya сообщили, что «они в курсе того, что часть игроков попала под атаку этой программы. Несмотря на это, никаких доказательств потерь средств клиентами в связи с нечеcтной игрой пока что еще не было найдено. Но для большей безопасности мы рекомендуем игрокам защитить себя от подобных атак путем установки антивирусного программного обеспечения. Также советуем скачивать все необходимые программы с проверенных ресурсов и не забывать вовремя обновлять антивирус». Далее мы более детально поговорим о принципе действия самого вируса.
Принцип действия, статистика и комментарии
Как и в случае с другими троянскими программами, игрок рискует заразиться вирусом, загрузив на свой компьютер программное обеспечение из ненадежных источников. Мошенники маскируют Odlanor под бесплатный софт, к примеру, Nero или uTorrent. Также вредоносная программа может скрываться за специализированными покерными программами – Poker Calculator Pro, Poker Office, Tournament Shark и т.д.
В момент, когда у клиента запущен клиент PokerStars или Full Tilt, Win32/Spy.Odlanor делает скриншоты экрана. Таким образом злоумышленники получают необходимые данные, в частности идентификатор игрока. Собственно, вышеперечисленные покер-румы включают в себя функцию поиска пользователей по идентификатору, что в дальнейшем позволяет мошеннику получить нужную ему игровую информацию. Играет ли злоумышленник самостоятельно или же использует для этого специальные автоматические программы пока неизвестно.
Более свежие версии Odlanor, помимо вышеперечисленного, предусматривают возможность кражи паролей пользователей при помощи инструмента NirSoft WebBrowserPassView, который распознается антивирусами как файл Win32/PSWTool.WebBrowserPassView.B. Этот файл и способен извлекать любые пароли от веб-бразуеров, взаимодействуя с С&C-сервером через HTTP-протокол. Вся информация о компьютере отправляется мошеннику в виде URL параметров, когда оставшаяся часть информации (снимки, пароли и так далее) отправляется в теле запроса POST HTTP-протокола. Ниже вашему вниманию представлены 2 скриншота вируса, которые обозначают поиск окон программ с заголовками PokerStars и Full Tilt:
Вдобавок было обнаружено несколько версий этого вредоносного ПО, наиболее ранняя из которых датируется мартом 2015 года. Данные ESET показывают, что самое большое число вируса Win32/Spy.Odlanor было замечено в странах Восточной Европы. Однако, от подобных атак не застрахован никто. Состоянием на 16 сентября было зафиксировано несколько сотен зараженных игроков по всему миру. Ну а общая статистика географии атакованных стран выглядит именно так:
Так что рекомендуем быть предельно внимательными, друзья. Предупрежден — значит вооружен!