Москва, 18 вересня 2015 р Фахівці міжнародної антивірусної компанії ESET виявили шпигунське ПЗ, орієнтоване на гравців в онлайн-покер - Win32 / Spy.Odlanor. У статистиці заражень переважають користувачі з Росії та України, які відіграють на сайтах PokerStars і Full Tilt Poker.

Програма Odlanor дозволяє зловмисникам отримати доступ до інформації про гравця і його картах, що забезпечує незаперечну перевагу в грі. Експерти ESET виявили декілька версій трояна, найбільш рання з яких датована березнем 2015 року. За даними хмарної технології ESET LiveGrid, більшість заражень припадає на країни Східної Європи, проте, Odlanor становить загрозу для кожного гравця в онлайн-покер.

Статистика заражень Win32 / Spy.Odlanor

Вектор поширення Odlanor типовий для більшості троянів. Користувач завантажує шкідливу програму під виглядом легального ПЗ з недостовірних джерел. Зокрема, зловмисники маскують Odlanor під інсталятори Daemon Tools або μTorrent, а також спеціалізовані програми для покеру Tournament Shark, Poker Calculator Pro, Smart Buddy і Poker Office.

На зараженому пристрої Odlanor намагається робити знімки екрану в тому випадку, якщо у користувача запущені клієнти покер-румів PokerStars або Full Tilt Poker. Скріншоти разом з ідентифікатором гравця відправляються на віддалений сервер атакуючим. Зазначені сайти для гри в покер підтримують функцію пошуку користувачів за ідентифікаторами, так що зловмисник легко зможе підключитися до турнірних таблиць.

У найбільш нових версіях шкідливої ​​програми в тіло трояна Odlanor додані функціонал крадіжки паролів користувача - модуль WebBrowserPassView. Він спеціалізується на добуванні паролів з браузерів. Даний інструмент є небажаним ПО і детектується антивірусними продуктами ESET NOD32 як Win32 / PSWTool.WebBrowserPassView.B.

Odlanor взаємодіє зі своїм керівником сервером через простий НТТР-протокол, адреса якого зашитий в тілі трояна. Частина відомостей, що ідентифікують жертву, включаючи версію шкідливої ​​програми та інформацію про комп'ютер, відправляється у вигляді параметрів URL. Інші дані, в тому числі архів з скріншот або вкраденими паролями, передається зловмисникам в тілі запиту POST HTTP-протоколу.

Win32 / Spy.Odlanor - не перша спроба компрометації гравців в онлайн-покер. У 2013 році експерти ESET виявили шкідливу програму PokerAgent (MSIL / Agent.NKY) , Яка використовувалася зловмисниками для крадіжки облікових записів в мережі Facebook і акаунтів в додатку Zynga Poker. В якості платформи для поширення трояна виступала мережа Facebook.

Антивірусні продукти ESET NOD32 детектируют відомі і нові шкідливі програми.