Специалисты между­на­родной антиви­русной компании ESET обнаружили шпионское ПО, ориен­ти­ро­ванное на игроков в онлайн-покер – Win32/Spy.Odlanor. В стати­стике заражений преоб­ладают пользо­ватели из России и Украины, играющие на сайтах PokerStars и Full Tilt Poker. 

Программа Odlanor позволяет злоумыш­лен­никам получить доступ к инфор­мации об игроке и его картах, что обеспе­чивает неоспо­римое преиму­щество в игре. Эксперты ESET обнаружили несколько версий трояна, наиболее ранняя из которых датирована мартом 2015 года. По данным облачной техно­логии ESET LiveGrid, большинство заражений прихо­дится на страны Восточной Европы, тем не менее, Odlanor представляет угрозу для каждого игрока в онлайн-покер.

Вектор распро­стра­нения Odlanor типичен для большинства троянов. Пользователь загружает вредо­носную программу под видом легального ПО из недосто­верных источ­ников. В частности, злоумыш­ленники маскируют Odlanor под инстал­ляторы Daemon Tools или µTorrent, а также специ­а­ли­зи­ро­ванные программы для покера Tournament Shark, Poker Calculator Pro, Smart Buddy и Poker Office.

На зараженном устройстве Odlanor пытается делать снимки экрана в том случае, если у пользо­вателя запущены клиенты покер-румов PokerStars или Full Tilt Poker. Скриншоты вместе с иденти­фи­ка­тором игрока отправ­ляются на удаленный сервер атакующим. Указанные сайты для игры в покер поддер­живают функцию поиска пользо­ва­телей по иденти­фи­ка­торам, так что злоумыш­ленник легко сможет подклю­читься к турнирным таблицам.

В наиболее новых версиях вредо­носной программы в тело трояна Odlanor добавлены функционал кражи паролей пользо­вателя – модуль WebBrowserPassView. Он специ­а­ли­зи­руется на извле­чении паролей из браузеров. Данный инструмент является нежела­тельным ПО и детек­ти­руется антиви­русными продуктами ESET NOD32 как Win32/PSWTool.WebBrowserPassView.B. 

Odlanor взаимо­дей­ствует со своим управ­ляющим сервером через простой НТТР-протокол, адрес которого зашит в теле трояна. Часть сведений, иденти­фи­ци­рующих жертву, включая версию вредо­носной программы и инфор­мацию о компьютере, отправ­ляется в виде параметров URL. Другие данные, в том числе архив со скрин­шотами или украденными паролями, передается злоумыш­лен­никам в теле запроса POST HTTP-протокола.

Win32/Spy.Odlanor – не первая попытка компро­ме­тации игроков в онлайн-покер. В 2013 году эксперты ESET обнаружили вредо­носную программу PokerAgent (MSIL/Agent.NKY), которая исполь­зо­валась злоумыш­лен­никами для кражи учетных записей в сети Facebook и аккаунтов в прило­жении Zynga Poker. В качестве платформы для распро­стра­нения трояна выступала сеть Facebook.

Поделиться: