Trojan Stresspaint kradnie dane do logowania Facebooka

Malware Stresspaint kradnie dane logowania Facebooka podszywając się za narzędzie Relieve Stress Paint

Malware nazwany Stresspaint został wykryty w środku kwietnia 2018 podczas zbierania danych logowania użytkowników Facebooka. Rozpowszechniany poprzez zhakowaną wersję strony aol.net, malware zdołał zainfekować ponad 40 tysięcy komputerów w czasie 12-16 kwietnia. Według badaczy Radware, trojan StressPaint Trojan atakuje głównie użytkowników mieszkających w Wietnamie, Rosji, Pakistanie, Indonezji, Ukrainie i Włoszech.

Według źródeł, ów malware kradnące dane jest rozpowszechniane przez zhakowaną stronę aol.net oraz maile phishingowe promujące aplikację Relieve Stress Paint. Aplikacja te jest rozprowadzana zabundlowana z malwarem Stresspaint, który po uruchomieniu otwiera Facebooka w tle i zaczyna zbierać dane logowania, ciasteczka sesji, ruch sieci i inne informacje jednoznacznie identyfikujące osobę.

Amazon – kolejny cel

Twórcy malware'a Stresspaint nie chcą ograniczać się na samym Facebooku. Według badaczy malware, na celowniku wkrótce mogą się pojawić dane użytkowników Amazona.

Naukowcy odkryli, że oszuści zarządzający rozprzestrzenianiem się narzędzia Relieve Stress Paint zainfekowanego malwarem wyciągającym dane Facebookowe, korzystają bazującego na wolnym oprogramowaniu, chińskiego CMSa znanego jako Layuicms2.0. Po dogłębnej analizie zauważono, że panel ten nie tylko wyświetla metrykę ataków oraz wycieki danych Facebooka, lecz zawiera też sekcję informującą o takich samych danych związanych z Amazonem. Przez to przewiduje się, że taki sam bądź podobny atak zostanie uruchomiony przeciwko użytkownikom Amazona.

Techniczna strona trojana

Stresspaint jest przykładem profesjonalnie stworzonego złodzieja danych. W ciągu ledwie czterech dni zdołał on zaatakować ponad 45 tysięcy komputerów oraz wykraść dziesiątki tysięcy loginów i haseł Facebook. Liczby te są godne uwagi, czyż nie?

Głównym powodem, dlaczego hakerzy osiągnęli taki sukces jest związany głównie z pieczołowitym dopracowaniem wirusa przed jego wydaniem. Ów grupa dystrybutorów malware korzysta z filtrów, by atakować ludzi posiadających konta Facebook z hasłami zapisanymi na komputerze bądź z aktywowaną funkcją płatności Amazon.

Jeśli potencjalna ofiara spełnia wymagania, malware zostaje uruchomiony, aktywuje skrypty i dodaje złośliwe klucze Rejestru Systemu, które pomagają zostać niezauważynym w systemie oraz wykradać dane osobiste bez żadnych przeszkód.

• Temp\\\\DX.exe
• Temp\\\\updata.dll
• Desktop\\RelieveStressPaint.lnk
• HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\Updata
• HKCU\\Software\\Classes\\VirtualStore\\MACHINE\\SOFTWARE\\RelieveStressPaint\\guid

To tylko kilka przykładowych zmian inicjowanych przez Stresspaint. Po udanym dodaniu, wykrycie ich jest praktycznie niemożliwe w systemie. Wirus nie ma też negatywnego wpływu na wydajność systemu.

Wirus ten może zostać znaleziony tylko podczas skanu wykonywanego przez profesjonalny program anty-malware. Dogłębny skan systemu powinien wykryć wirusa Stresspaint.Trojan bądź Stresspaint.Inforstealer , którego powinieneś natychmiastowo zneutralizować.

Wirus wycieka dane Facebooka za każdym razem, gdy włączona jest aplikacja Relieve Stress Paint

Relieve Stress Paint może być użyteczną aplikacją. Jest to jednak program, który może spowodować więcej szkód niż pożytku. Po instalacji, program ten jest pobierany wraz z trojanem. W konsekwencji, malware tworzy na pulpicie skrót RelieveStressPaint.lnk – jest to skrót do rzeczonej aplikacji.

Niestety, za każdym razem, gdy klikniesz na skrót i uruchomisz aplikację, uruchamia ona oprogramowanie śledząca i zbiera dane Facebooka, w tym nazwę użytkownika i hasło. Jeśli Trojan poradził sobie z ujawnieniem tych danych, może połączyć się z tym kontem i wykraść informacje, takie jak liczba znajomych na Facebooku, ustawienia płatności, aktywność konta itd.

Konta Facebook mogą być zhakowane

Obecnie, badacze nie zarejestrowali żadnych przypadków zhakowanych kont poprzez malware Relieve Stress Paint. Wierzy się jednak, że wirus ten wciąż jest w fazie rozwoju bądź też fazie wczesnego zbierania danych.

Domyślamy się, że zebrane dane mogą być wykorzystywane do szantażowania, szpiegostwa, malwertisingu, monetyzacji i podobnych aktywności. Nie mówiąc już o przejściu konta Facebook. Dlatego też warto użyć profesjonalnego antywirusa oraz innych narzędzi tego typu. Poza tym, bądź ostrożny z tym, co umieszczasz w sieci.