Jugadores de póker online: atentos!
Hola lectores y usuarios de Underc0de ¿os gusta jugar el póker? Pues estad atentos al troyano Odlanor, diseñado para atacar a los jugadores de póker online ya que espía la cartas de los oponentes infectados.
Los amigos de Welive Security han hecho un análisis sobre Win32/Spy.Odlanor, el malware utilizado por su operador para hacer trampa en los juegos de póker online. Sus víctimas son específicamente los usuarios de dos de los sitios de póker en línea más grandes: PokerStars y Full Tilt Poker.
Modus Operandi: Odlanor toma capturas de pantalla de su víctima
El ataque parece funcionar de una manera simple: después de que el troyano infectó con éxito a la víctima, el creador del malware intenta participar de su juego. Como consecuencia, cuenta con una ventaja injusta, ya que es capaz de ver las cartas del oponente.
Vamos a explicar cada uno de estos pasos con mayor detalle, de la misma forma en que los fuimos descubriendo a través de nuestro análisis.
Al igual que todo típico troyano informático, los usuarios generalmente se infectan conWin32/Spy.Odlanor sin saberlo, al descargar alguna otra aplicación útil a partir de fuentes que no son los sitios web oficiales de los autores del software. Este malware se hace pasar por programas de instalación inofensivos para diversas aplicaciones de propósito general, como Daemon Tools o mTorrent.
En otros casos, el troyano se carga en el sistema de la víctima a través de diversos programas relacionados con el póker: bases de datos para los jugadores, calculadoras y así sucesivamente (como Tournament Shark, Poker Calculator Pro, Smart Buddy, Poker Office, entre otros).
Una vez ejecutado, el malware se utiliza para tomar capturas de pantalla de la ventana de los dos sitios de póker a los que se dirigen los ataques, PokerStars o Full Tilt Poker, cuando la víctima está usando cualquiera de ellos. Las capturas de pantalla luego se envían al equipo remoto del atacante.
Posteriormente, el criminal visualiza las imágenes para hacer trampa en el juego. Las capturas no solo revelan las cartas en la mano del oponente infectado, sino también el ID del jugador. Ambos sitios de póker permiten buscar jugadores por sus documentos de identidad, por lo tanto, el atacante puede conectarse fácilmente a las mesas de las víctimas que están jugando.
No estamos seguros de si el autor juega los juegos en forma manual o si lo hace de alguna manera automatizada.
En las últimas versiones del malware, se añadió la funcionalidad de robo de datos de propósito general mediante la ejecución de una versión de NirSoft WebBrowserPassView, integrada en el troyano Odlanor. Esta herramienta, detectada por ESET comoWin32/PSWTool.WebBrowserPassView.B, a pesar de ser una aplicación potencialmente no deseada, es un programa legítimo, y es capaz de extraer contraseñas de varios navegadores web.
Detalles técnicos de Odlanor
El troyano se comunica con su servidor de C&C, cuya dirección está codificada en forma rígida en el archivo binario, mediante HTTP. Parte de la información extraída, como la versión de malware e información de identificación del equipo, es enviada en los parámetros de la URL. El resto de la información recopilada, incluyendo un archivo comprimido con las capturas de pantalla o las contraseñas robadas, se envía en los datos de la solicitud POST.
Las capturas de pantalla de IDA Pro que aparecen a continuación muestran las partes del código del malware encargadas de buscar las ventanas de PokerStars y Full Tilt Poker:
Fuente: welivesecurity.com
