Эксперты заметили новую кампанию по распространению трояна AdService, похищающего пароли от учетных записей. Вредонос, распространяющийся в составе комплектов рекламного ПО, использует метод подмены оригинальных DLL-библиотек (динамически подключаемая библиотека) Chrome для загрузки и хищения информации из учетных записей пользователей в Facebook и Twitter.
AdService помещает вредоносную версию winhttp.dll в папку C:Program Files (x86)GoogleChromeApplication. Таким образом при запуске Chrome процесс chrome.exe загрузит вредоносную winhttp.dll вместо оригинальной.
После запуска браузера троян связывается с удаленным сервером для отправки/получения информации и пытается подключиться к Facebook и Twitter с целью хищения различной информации, в том числе сведений о настройках профиля, закладках, используемых методах оплаты и сохраненных данных кредитных карт (типе карты, последних 4 цифрах карты, дате окончания срока ее действия и привязанном к карте почтовом индексе), списке друзей, адресе электронной почты и пр.
Ранее специалисты «Лаборатории Касперского» обнаружили новый мобильный рекламный троян Xafekopy, который незаметно для своих жертв подписывает их на различные платные сервисы. Вредонос осуществляет подписку посредством кликов по ссылкам или SMS-сообщений. В первом случае троян даже способен обходить CAPTCHA. Xafekopy нацелен преимущественно на жителей России и Индии.

Источник: securitylab.ru