AdService es el nombre de un troyano
cuya función es que roba información de cuentas de Facebook o Twitter. Se
distribuye de forma silenciosa a través de paquetes de adware. Estos paquetes
normalmente se instalan a través de otros programas como extensiones, falsos
optimizadores del sistema, etc. Utiliza el secuestro de archivos DLL de Google
Chrome para cargarse al ejecutar el navegador.
Troyano que roba
información de cuentas
De esta manera logra robar información
a los usuarios. Aspectos como la contraseña o nombres de usuarios son
registrados de cuentas como Facebook o Twitter.
Si hablamos un poco de en qué consiste
el secuestro de archivos DLL, cuando se ejecuta un programa y necesita cargar
un DLL determinado, el programa puede cargarlo desde una ubicación específica o
simplemente puede especificar el archivo DLL que desea cargar y dejar que
Windows lo encuentre. En este último escenario, cuando Windows intenta
encontrar la DLL utiliza una ruta de búsqueda para encontrarla y la primera
ubicación que busca se encuentra en la carpeta donde esté el archivo
ejecutable. Si se encuentra el DLL solicitado, se cargará automáticamente en el
programa.
A través de malware se puede
aprovechar esto al colocar DLL maliciosos en la carpeta de un programa que
contienen el mismo nombre de una DLL que el programa normalmente cargaría desde
otra carpeta. Esto hace que el programa ejecute la DLL malintencionada en lugar
de la legítima que debería.
Troyano AdService
En este caso, el troyano AdService
está colocando una versión malintencionada de winhttp.dll en la carpeta \
Program \ X Files (x86) \ Google \ Chrome \ Application de C: \ Program. Cuando
una víctima inicie Chrome, chrome.exe cargará la versión malintencionada de
winhttp.dll ejecutada en lugar de la de C: \ Windows \ system32.
Cuando se inicia Chrome y se carga el
winhttp.dll malicioso, el troyano se conectará a un sitio remoto y enviará y
recibirá información. A continuación, se conectará a Facebook e intentará robar
información del perfil del usuario.
Una vez el usuario se conecta a Facebook y Twitter, se
abrirán las páginas que incluyen https://www.facebook.com/settings,
https://www.facebook.com/bookmarks/pages, https://secure.facebook.com/ /
settings / payment_methods /? __ a = 1, https://www.facebook.com/profile.php,
https://mobile.twitter.com/account y https://twitter.com/settings/account.
Cada una de estas páginas contiene
información diversa que podría ser valiosa para aquellos con intenciones
maliciosas. Esto incluye la lista de amigos, la configuración de la víctima, su
dirección de correo electrónico y número de teléfono, las páginas de Facebook
que está siguiendo e información sobre cualquier dato de tarjeta de crédito de
Facebook almacenada. Esto incluye el tipo de tarjeta, los últimos 4 dígitos, la
caducidad y la facturación.
Información valiosa
Como se puede ver, esta información no
es algo que queramos que los hipotéticos atacantes tengan acceso.
Afortunadamente, este servicio es detectado por 45 de 64 proveedores de
seguridad en VirusTotal. Eso sí, la mayoría de ellos no clasifican
correctamente la infección como un ladrón de contraseñas.
Como siempre decimos, lo mejor es
mantener nuestro equipo actualizado y con software de seguridad. Así podremos
hacer frente a posibles amenazas como esta. Muchos tipos de malware se
distribuyen a través de adware. Como es el caso de este artículo en el que roba
información delicada.
Fuente: Bleeping Computer
