ПО для взлома Facebook-аккаунтов содержит троян Remtasu

Eset объявила о росте активности трояна Win32/Remtasu, модификации которого используются злоумышленниками для кражи персональных данных пользователей.

С начала года аналитики компании зафиксировали новую волну распространения Remtasu, замаскированного под программу для кражи паролей от аккаунтов пользователей Facebook. Желающие воспользоваться таким вредоносным ПО загружали его с фишинговых или скомпрометированных ресурсов и запускали его исполнение.

Вредоносное приложение Remtasu использует для сжатия упаковщик UPX. После исполнения, вредоносный файл обращается к функциям для работы с буфером обмена в скомпрометированной системе. Троян может сохранять в отдельный файл содержимое буфера обмена и информацию о нажатии пользователем клавиш, а затем отправлять эти данные на удаленный сервер.

В первые недели 2016 г. аналитики Eset зафиксировали активность 24 различных модификаций Remtasu. Наибольшая активность трояна наблюдается в странах Латинской Америки, а также Турции и Таиланде.