Nowo odkryty keylogger udaje rozszerzenie przeglądarki Firefox. Koń trojański FormSpy monitoruje ruchy myszy oraz naciśnięcia klawiszy i w ten sposób kradnie hasła, nazwy użytkownika czy numery kart bankowych. Jeden z modułów szkodliwego kodu jest również odpowiedzialny za szpiegowanie ruchu wychodzącego z komunikatorów, sesji FTP oraz ruchu związanego z odbieraniem i wysyłaniem poczty. Wszystkie zebrane w ten sposób informacje przesyłane są na zdalny serwer.
FormSpy zaczął rozprzestrzeniać się w listach elektronicznych, które rzekomo pochodzą od sieci handlowej Wal-Mart i zawierają w załączniku rachunek. “Po uruchomieniu załącznika trojan pobiera i instaluje dwa komponenty: keyloggera i sniffera” – mówią specjaliści.
Sam trojan udaje firefoksową wtyczkę o nazwie Numberedlinks 0.9. Normalnie umożliwia ona przeskakiwanie pomiędzy zamieszczonymi na stronie WWW linkami za pomocą klawiatury. “Koń trojański instaluje się bezpośrednio do folderów Firefoksa, bez pytania o potwierdzenie instalacji” – dodają eksperci. Na liście zastosowanych rozszerzeń pojawia się następnie Numberedlinks 0.9.
Źródło: ArcaBit