Tereza MalkusováTrójský kůň Win32/Spy.Odlanor specificky cílí na uživatele dvou největších stránek s online pokerem: PokerStars a Full Tilt Poker. Útočník s přístupem do malware databáze při hře doslova vidí do karet protihráče. Cesta k jednoduché výhře je přímo vydlážděna.
Celý útok byl v zásadě velmi jednoduchý (to je však znak dobře napsaného malware), kdy po nakažení počítače a spuštění hry se útočník připojil k danému hernímu stolu a díky znalosti karet v poklidu začal obírat protihráče. Jak? Po infikování počítače začal Win32/Spy.Odlenor v pravidelných intervalech fotit obrazovku infikovaného počítače a fotky odesílat na vzdálený server, kde si je útočník může ihned prohlédnout a zvolit další strategii hry.
K nákaze počítače byly použity prověřené cesty, kdy je malware přibalen do často stahovaných aplikací jako je Daemon Tools nebo mTorrent z neoficiálních download serverů. Odlanor byl navíc chytře propašován do programů, které hráči pokeru velmi často využívají, jako jsou Tournament Shark, Poker Calculator Pro, Smart Buddy nebo Poker Office. O hladké šíření tak bylo postaráno.
Trojan komunikuje s řídícím serverem přes HTTP. Část dat ohledně verze škodlivého kódu nebo informací o nakaženém počítači jsou odesílány v URL parametrech. Zbytek sbíraných informací, včetně archivu s fotkami obrazovek nebo hesly, se posílají v POST datech.
Screenshot níže zobrazuje část kódu, který hledá PokerStars a Full Tilt Poker okna.
Podle statistik telemetrie ESET LiveGrid® je nejvíce infikovaných počítačů na východě Evropy. Win32/Spy.Odlanor však znamená potenciální riziko pro všechny hráče online pokeru. Několik obětí se také našlo v České republice, Polsku a Maďarsku.
SHA1 hash
18d9c30294ae989eb8933aeaa160570bd7309afc
510acecee856abc3e1804f63743ce4a9de4f632e
dfa64f053bbf549908b32f1f0e3cf693678c5f5a
Lucie Mudráková
