Исследователи заметили новую кампанию по распространению трояна AdService, похищающего пароли от учетных записей. Вредонос, который распространяется в комплекте рекламного ПО, использует метод подмены оригинальных DLL-библиотек (динамически подключаемая библиотека) Chrome для загрузки и хищения информации из учетных записей пользователей в Facebook и Twitter.
AdService помещает вредоносную версию winhttp.dll в папку C:\Program Files (x86)\Google\Chrome\Application. Таким образом при запуске Chrome процесс chrome.exe загружает вредоносную winhttp.dll вместо оригинальной.
После того, как браузер запущен, троян связывается с удаленным сервером для отправки/получения данных и пытается подключиться к Facebook и Twitter с целью хищения различной информации. В числе прочего под угрозу попадают сведения о настройках профиля, закладках, используемых методах оплаты и сохраненных данных кредитных карт (типе карты, последних 4 цифрах карты, дате окончания срока ее действия и привязанном к карте почтовом индексе), списке друзей, адресе электронной почты и так далее.
Источник: securitylab.ru
