Investigadores de ESET han descubierto un malware idenficado como Win32/Spy.Odlanor, que se utiliza por su creador para hacer trampa en el póker en línea viendo a escondidas las cartas de los opositores infectados. Esta diseñado específicamente para funcionar en dos de los mayores sitios de poker en linea: PokerStars y Full Tilt Poker.
Modus operandi: El malware toma capturas de pantalla del oponente infectado
El ataque parece funcionar de una manera sencilla: Después de que la víctima ha sido infectada con éxito con el troyano, el autor intentará unirse a la mesa en la que la víctima está jugando, teniendo así una ventaja injusta al ser capaz de ver las cartas en la mano.
Explicando cada uno de estos pasos a detalle poco más, que fue descubierto a través del análisis.
Al igual que un troyano informático típico, los usuarios generalmente se infectan con Win32/Spy.Odlanor sin saberlo, al descargar alguna otra aplicación, útil a partir de fuentes distintas de los sitios web oficiales de los autores de software. Este malware se disfraza como instalador benigno para diversos programas de propósito general, como Daemon Tools o MTorrent. En otros casos, se carga en el sistema de la víctima a través de diversos programas relacionados con el poker - bases de datos de jugador de poker, calculadoras de poker, y así sucesivamente - como Tournament Shark, Poker Calculator Pro, Smart Buddy, Poker Office y otros.
Una vez ejecutado, el malware Odlanor se utilizará para crear capturas de pantalla de la ventana de los dos clientes de poker especificos - PokerStars o Full Tilt Poker, si la víctima está ejecutando cualquiera de ellos. Las imágenes se envían al equipo remoto del atacante.
Posteriormente, las imágenes se pueden recuperar por el atacante. Revelan no sólo las manos del oponente infectado, sino también la identificación del jugador. Ambos sitios de poker a los que se dirige el ataque permiten la búsqueda de jugadores por su ID, por lo tanto, el atacante puede conectarse fácilmente a las mesas de los que están jugando.
No esta claro si el autor juega de forma manual o de alguna manera automatizada.
En las nuevas versiones del malware, se añadió la funcionalidad de robo de datos de uso general ejecutando una versión de NirSoft WebBrowserPassView, incrustada en el troyano Oldanor. Esta herramienta, detectada por ESET como Win32/PSWTool.WebBrowserPassView.B, es legítima, aunque potencialmente peligrosa, capaz de extraer las contraseñas de varios navegadores web.
Comunicación con el servidor C&C (Comando y control) a través de HTTP
El troyano se comunica con su C&C, cuya dirección está codificada en el binario, a través de HTTP. Parte de la información extraida, como la versión de malware e información de identificación del equipo, son enviados en los parámetros de URL. El resto de la información recogida, incluyendo un archivo con las imágenes o contraseñas robadas, se envía en los datos de la solicitud POST.
La captura de pantalla a continuación muestra partes del código malware que busca ventanas de PokerStars y Full Tilt Poker:
El mayor número de detecciones proviene de países de Europa del Este
Se han observado varias versiones del malware en internet, los primeros alrededor de marzo de 2015. De acuerdo con ESET, el mayor número de detecciones proviene de países de Europa del Este. Sin embargo, el troyano plantea una amenaza potencial para cualquier jugador de poker en linea. Varias de las víctimas se encontraban en la República Checa, Polonia y Hungría. A partir del 16 de septiembre, se han producido varios cientos de usuarios infectados con Win32/Spy.Odlanor:
Es el único que ha sido identificado, sin embargo, existen muchas posibilidades de que esta misma técnica este siendo utilizada para diferentes tipos de apuestas en linea donde lo que tu ves en pantalla es supuestamente confidencial.
Modus operandi: El malware toma capturas de pantalla del oponente infectado
El ataque parece funcionar de una manera sencilla: Después de que la víctima ha sido infectada con éxito con el troyano, el autor intentará unirse a la mesa en la que la víctima está jugando, teniendo así una ventaja injusta al ser capaz de ver las cartas en la mano.
Explicando cada uno de estos pasos a detalle poco más, que fue descubierto a través del análisis.
Al igual que un troyano informático típico, los usuarios generalmente se infectan con Win32/Spy.Odlanor sin saberlo, al descargar alguna otra aplicación, útil a partir de fuentes distintas de los sitios web oficiales de los autores de software. Este malware se disfraza como instalador benigno para diversos programas de propósito general, como Daemon Tools o MTorrent. En otros casos, se carga en el sistema de la víctima a través de diversos programas relacionados con el poker - bases de datos de jugador de poker, calculadoras de poker, y así sucesivamente - como Tournament Shark, Poker Calculator Pro, Smart Buddy, Poker Office y otros.
Una vez ejecutado, el malware Odlanor se utilizará para crear capturas de pantalla de la ventana de los dos clientes de poker especificos - PokerStars o Full Tilt Poker, si la víctima está ejecutando cualquiera de ellos. Las imágenes se envían al equipo remoto del atacante.
Posteriormente, las imágenes se pueden recuperar por el atacante. Revelan no sólo las manos del oponente infectado, sino también la identificación del jugador. Ambos sitios de poker a los que se dirige el ataque permiten la búsqueda de jugadores por su ID, por lo tanto, el atacante puede conectarse fácilmente a las mesas de los que están jugando.
No esta claro si el autor juega de forma manual o de alguna manera automatizada.
En las nuevas versiones del malware, se añadió la funcionalidad de robo de datos de uso general ejecutando una versión de NirSoft WebBrowserPassView, incrustada en el troyano Oldanor. Esta herramienta, detectada por ESET como Win32/PSWTool.WebBrowserPassView.B, es legítima, aunque potencialmente peligrosa, capaz de extraer las contraseñas de varios navegadores web.
Comunicación con el servidor C&C (Comando y control) a través de HTTP
El troyano se comunica con su C&C, cuya dirección está codificada en el binario, a través de HTTP. Parte de la información extraida, como la versión de malware e información de identificación del equipo, son enviados en los parámetros de URL. El resto de la información recogida, incluyendo un archivo con las imágenes o contraseñas robadas, se envía en los datos de la solicitud POST.
La captura de pantalla a continuación muestra partes del código malware que busca ventanas de PokerStars y Full Tilt Poker:
El mayor número de detecciones proviene de países de Europa del Este
Se han observado varias versiones del malware en internet, los primeros alrededor de marzo de 2015. De acuerdo con ESET, el mayor número de detecciones proviene de países de Europa del Este. Sin embargo, el troyano plantea una amenaza potencial para cualquier jugador de poker en linea. Varias de las víctimas se encontraban en la República Checa, Polonia y Hungría. A partir del 16 de septiembre, se han producido varios cientos de usuarios infectados con Win32/Spy.Odlanor:
