Новая волна троянца Remtasu

Компания ESET сообщила о росте активности троянской программы Win32/Remtasu: ее вирусная лаборатория обнаружила ряд модификаций вредоносной программы, которые используются для кражи персональных данных пользователей.

Зафиксированная аналитиками новая волна распространения Remtasu отличается тем, что троянец маскируется под «программу для кражи паролей от Facebook». Желающие воспользоваться софтом для взлома чужих аккаунтов загружали вредоносные файлы с фишинговых или скомпрометированных ресурсов и запускали их исполнение. Ранее Remtasu распространялся стандартным для этого семейства вредоносного ПО способом – в электронных письмах, отправляемых от лица известных компаний. Письма-приманки содержали фальшивые файлы Microsoft Office, замаскированные под счета-фактуры и другие служебные документы.

Вредоносное приложение Remtasu использует для сжатия содержимого упаковщик UPX. Исполняемый файл обращается к функциям для работы с буфером обмена в скомпрометированной системе. Remtasu может сохранять в отдельный файл содержимое буфера обмена и информацию о нажатии пользователем клавиш, а затем отправлять эти данные на удаленный сервер.

В первые недели 2016 г. аналитики ESET зафиксировали активность 24 различных модификаций Remtasu. Наибольшая активность троянца наблюдается в странах Латинской Америки, а также Турции и Таиланде.