Эксперты заметили новую кампанию по распространению трояна AdService, похищающего пароли от учетных записей. Вредонос, распространяющийся в составе комплектов рекламного ПО, использует метод подмены оригинальных DLL-библиотек (динамически подключаемая библиотека) Chrome для загрузки и хищения информации из учетных записей пользователей в Facebook и Twitter.
AdService помещает вредоносную версию winhttp.dll в папку C:Program Files (x86)GoogleChromeApplication. Таким образом при запуске Chrome процесс chrome.exe загрузит вредоносную winhttp.dll вместо оригинальной.
После запуска браузера троян связывается с удаленным сервером для отправки/получения информации и пытается подключиться к Facebook и Twitter с целью хищения различной информации, в том числе сведений о настройках профиля, закладках, используемых методах оплаты и сохраненных данных кредитных карт (типе карты, последних 4 цифрах карты, дате окончания срока ее действия и привязанном к карте почтовом индексе), списке друзей, адресе электронной почты и пр.