Експерти помітили нову кампанію з поширення трояна AdService, що викрадає паролі від облікових записів. Шкідлива програма, що розповсюджується у складі комплектів рекламного ПО, використовує метод підміни оригінальних DLL-бібліотек (клієнтська бібліотека) Chrome для завантаження і розкрадання інформації з облікових записів користувачів в Facebook і Twitter.

AdService поміщає шкідливу версію winhttp.dll в папку C:\Program Files (x86)\Google\Chrome\Application. Таким чином при запуску Chrome процес chrome.exe завантажує шкідливу winhttp.dll замість оригінальної.

Після запуску браузера троян зв'язується з віддаленим сервером для відправки/отримання інформації і намагається підключитися до Facebook і Twitter з метою розкрадання різної інформації, в тому числі відомостей про налаштуваннях профілю, закладки, використовуваних методах оплати і збережених даних кредитних карт (тип карти, 4 останні цифри картки, дату закінчення терміну її дії і прив'язаний до карти поштовий індекс), списку друзів, адресу електронної пошти тощо

Раніше фахівці «Лабораторії Касперського» виявили новий мобільний рекламний троян Xafekopy, який непомітно для своїх жертв підписує їх на різні платні сервіси. Шкідливий здійснює передплату за допомогою кліків по посиланнях або SMS-повідомлень. У першому випадку троян навіть здатний обходити CAPTCHA. Xafekopy націлений переважно на жителів Росії та Індії.