Вместе с бесплатным инструментарием могут распространяться вредоносные программы, предназначенные для кражи данных, в том числе паролей доступа к учетным записям, предупреждает исследователь из Microsoft, обнаруживший и изучивший перехватчик паролей в составе инструмента для интернет-игры.

«Троянский конь» под названием USteal, крадущий пароли, был обнаружен во вспомогательной программе для настройки Dota2, военной игры от Valve Corporation. Сторонняя компания распространяла программу среди пользователей, желающих придать игре индивидуальные особенности, сообщает Алден Порнасдоро, сотрудник Центра Microsoft по защите от вредоносных программ.

«Важно отдавать себе отчет в том, что риск существует и понимать, как легко авторы вредоносных программ могут создавать опасные программные пакеты», - говорится в аналитической записке Порнасдоро.

USteal записывает, сжимает и шифрует украденные имена пользователей и пароли. «Троянский конь», обнаруженный в марте, тесно связан с Ruffar, клавиатурным шпионом для перехвата нажатых пользователем клавиш, в том числе паролей и информации о кредитных картах. Порнасдоро проследил путь вредителя к размещенному в России автоматизированному интернет-инструменту для проектирования злокачественных программ. Арендуя его, злоумышленники могут строить «троянских коней» и выбирать функции, просто устанавливая флажки.

«После того, как “троянский конь” построен, автор может упаковать вредную программу вместе с полезными инструментами, программами или изображениями, - написал Порнасдоро, добавляя, что задача распространения вредоносной программы возлагается на ее создателя. - Можно просто разместить файл на бесплатном сайте или размножить ссылку на форумах, в комментариях или мгновенных сообщениях. Метод распространения зависит от цели атаки».

Больше всего заражений программой USteal обнаружено в России - более 60 тыс., на втором месте США, где число заражений превысило 11 тыс. Компания Microsoft рекомендует загружать программы непосредственно с официального сайта изготовителя программного продукта. Избегайте ссылок в публикациях на форумах, поскольку они могут вести к переупакованным, полным вредителей программам, советует Порнасдоро.

В версии 13 отчета об угрозах, подготовленном Microsoft, описан метод упаковки вредоносных программ вместе с полезными прикладными. Этот метод часто применялся для распространения рекламных программ, передающих системные данные и информацию о перемещениях пользователя в Интернете агрессивным рекламным организациям без согласия жертвы.

Рекламную программу OpenCandy, работающую со сторонними программами, обнаружили в августе 2012 г. Другая программа DealPly, выводящая результаты поиска в зависимости от поведения пользователя в Интернете, была признана рекламной специалистами Microsoft. Она распространяется вместе со сторонними прикладными программами в качестве надстройки браузера.

Мобильные устройства также уязвимы. Бесплатно распространяемые версии полезных мобильных программ иногда упаковываются вместе с мобильными шпионами. В начале 2013 г. Microsoft предупреждала пользователей Android, что обнаружен компонент rootkit, поставляемый в пакете с законной программой Android.

Gingermaster, вредоносная программа, обнаруженная с некоторыми «чистыми» приложениями, содержала замаскированный под изображение файл, чтобы получить привилегии root на зараженном устройстве. Компания Google выпустила обновление, блокирующее атаку. Известный вредитель DroidDream также обнаружен встроенным в безопасные приложения.