I ricercatori di sicurezza informatica della società Radware hanno scoperto un nuovo metodo di furto di dati effettuato tramite Google Chrome e Facebook. In particolare, si tratta di un trojan che raccoglie le informazioni di login del browser e tutto sembra indicare che sarebbe anche in grado di cercare le credenziali di Facebook degli utenti.
Cosa (o chi è) questo trojan
Il nome di questo trojan è Stresspaint ed è stato trovato all’interno di un’app gratuita di Windows chiamata Relieve Stress Paint, distribuita attraverso il sito aol.net. Sembra essere un’app di disegno legittima, tuttavia, quando gli utenti iniziano a usarlo, esegue anche i file in background. Nello specifico, l’app esegue due file:
- Temp \\ DX.exe, che consiste nel modulo Stresspaint principale;
- Temp \\ updata.dll, che è probabilmente usato per rubare i cookie di navigazione e le credenziali di Facebook.
Successivamente, il malware crea una chiave di registro di Windows per ottenere la persistenza di avvio ed eseguire il file DX.exe con ogni avvio del PC. Crea anche un’altra chiave di registro che contiene il GUID di ciascun utente infetto tramite una chiave a 5 cifre casuale.
Quindi, Stresspaint esegue copie dei database dei cookie e delle informazioni di accesso di Chrome, che archivia all’interno del sistema. Pertanto, il trojan esegue copie di questi file e, quindi, tutte le operazioni necessarie per sottrarre le chiavi di accesso dell’utente e i cookie del browser. Infine, il malware crittografa questi dati e li carica in un pannello utente.
I ricercatori dicono che, per ora, Stresspaint è riuscito a colpire più di 35.000 utenti, la maggior parte dei quali residenti in Vietnam, Pakistan e Russia. Da parte sua, l’app di disegni che nasconde il trojan ha iniziato a distribuirlo solo pochi giorni fa, sebbene sia operativa dall’inizio di aprile.