Троянская программа Remtasu маскируется под ПО для взлома аккаунтов в Facebook

Специалисты Eset зафиксировали рост активности троянской программы Win32/Remtasu. Ими был обнаружен ряд модификаций вредоносной программы, использующихся киберпреступниками для хищения персональных данных пользователей.

Аналитиками Eset была зафиксирована новая волна распространения Remtasu, имитирующего программу для хищения паролей к аккаунтам в Facebook. Те, кто хотел использовать программу для взлома чужих учетных записей, вместо нее производили загрузку вредоносных файлов со скомпрометированных или фишинговых сайтов.

Изначально распространение Remtasu осуществлялось путем рассылки поддельных электронных писем от лица известных корпораций. В письма были вложены файлы Microsoft Office, которые были замаскированы под счета-фактуры и иную служебную документацию.

Вредоносная программа Remtasu применяет для сжатия контента упаковщик UPX. Как рассказали в компании, с функционалом исполняемого файла можно ознакомиться после распаковки. Remtasu может сохранять в отдельном файле содержимое буфера обмена и сведения о нажатии клавиш пользователем. После эта информация пересылается на удаленный сервер.

В первые недели текущего года аналитиками Eset была зафиксирована активность 24 разных версий Remtasu. Больше всего от активности троянской программы страдают пользователи из Таиланда, Турции и стран Латинской Америки.