Поделиться
Троян Remtasu максируется под софт для взлома Facebook-аккаунтов
Компания Eset объявила о росте активности трояна Win32/Remtasu. Вирусная лаборатория компании обнаружила ряд модификаций вредоносной программы, которые используются злоумышленниками для кражи персональных данных пользователей, сообщили CNews в Eset.
В 2016 г. аналитики Eset зафиксировали новую волну распространения Remtasu, замаскированного под «программу для кражи паролей от Facebook». Желающие воспользоваться софтом для взлома чужих аккаунтов загружали вредоносные файлы с фишинговых или скомпрометированных ресурсов и запускали их исполнение.
Ранее Remtasu распространялся стандартным для этого семейства вредоносного ПО способом — в электронных письмах, отправляемых от лица известных компаний. Письма-приманки содержали фальшивые файлы Microsoft Office, замаскированные под счета-фактуры и другие служебные документы.
Вредоносное приложение Remtasu использует для сжатия содержимого упаковщик UPX. Возможности исполняемого файла можно изучить после распаковки, рассказали в компании. Вредоносный файл обращается к функциям для работы с буфером обмена в скомпрометированной системе. Remtasu может сохранять в отдельный файл содержимое буфера обмена и информацию о нажатии пользователем клавиш, а затем отправлять эти данные на удаленный сервер.
В первые недели 2016 г. аналитики Eset зафиксировали активность 24 различных модификаций Remtasu. Наибольшая активность трояна наблюдается в странах Латинской Америки, а также Турции и Таиланде.
Eset рекомендует пользователям не переходить по подозрительным ссылкам и игнорировать сообщения от непроверенных отправителей. Антивирусные продукты Eset NOD32 детектируют модификации Win32/Remtasu.
Короткая ссылка
