Компания ESET сообщила о росте активности троянца Win32/Remtasu. Вирусная лаборатория обнаружила ряд модификаций вредоносной программы, которые используются злоумышленниками для кражи персональных данных пользователей.
В 2016 году аналитики ESET зафиксировали новую волну распространения Remtasu, замаскированного под «программу для кражи паролей от Facebook». Желающие воспользоваться ПО для взлома чужих аккаунтов загружали вредоносные файлы с фишинговых или скомпрометированных ресурсов и запускали их исполнение.
Ранее Remtasu распространялся стандартным для этого семейства вредоносного ПО способом — в электронных письмах, отправляемых от лица известных компаний. Письма-приманки содержали фальшивые файлы Microsoft Office, замаскированные под счета-фактуры и другие служебные документы.
Вредоносное приложение Remtasu использует для сжатия содержимого упаковщик UPX. Возможности исполняемого файла можно изучить после распаковки. Вредоносный файл обращается к функциям для работы с буфером обмена в скомпрометированной системе. Remtasu может сохранять в отдельный файл содержимое буфера обмена и информацию о нажатии пользователем клавиш, а затем отправлять эти данные на удаленный сервер.
В первые недели 2016 года аналитики ESET зафиксировали активность 24 различных модификаций Remtasu. Наибольшая активность троянца наблюдается в странах Латинской Америки, а также Турции и Таиланде.