Все о компьютерном мире

Актуальные события и полезная информация

Обнаруженный «Доктор Веб» троянец заражает POS-терминалы

Злоумышленники традиционно проявляют заинтересованность к POS-терминалам, предназначенным для оплаты товаров и услуг с помощью банковских карт.

Специалистам по информационной безопасности известно масса троянцев, позволяющих киберпреступникам перехватывать обрабатываемые подобными устройствами данные. Одна из таких вредоносных программ, являющаяся модификацией другого известного POS-троянца, была недавно исследована вирусными аналитиками компании «Доктор Веб».

Троянец, добавленный в вирусные базы под именем Trojan.Kasidet.1, является модификацией вредоносной программы Trojan.MWZLesson, о которой бражка «Доктор Веб» уже рассказывала в сентябре 2015 года в одной из своих публикаций. Помимо функций троянца для POS-терминалов Trojan.MWZLesson обладает возможностью перехватывать GET- и POST-требования, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome, Internet Explorer и Maxthon.

Исследованный специалистами «Доктор Веб» образчик Trojan.Kasidet.1 распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает на атакуемом компьютере саму вредоносную программу.

В первую очередность троянец проверяет присутствие в инфицированной системе собственной копии, а также пытается заметить в своем окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдет программу, которую сочтет для себя опасной, он завершит свою работу. Если таких программ дудки, Trojan.Kasidet.1 пытается запуститься на зараженном компьютере с правами администратора. При этом на экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC), однако издателем запускаемого приложения wmic.exe является корпорация Microsoft, что надлежит усыпить бдительность потенциальной жертвы:

В свою очередность, утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1. Будто и Trojan.MWZLesson, этот троянец умеет сканировать оперативную память инфицированного устройства на присутствие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, он может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов. Также эта вредоносная программа по команде с управляющего сервера может скачать и запустить на зараженном ПК другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо известить им список работающих на компьютере процессов.

Ключевым отличием Trojan.Kasidet.1 от Trojan.MWZLesson является то, что адреса его управляющих серверов расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным сетевым ресурсам обычные веб-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов. Вредоносные программы, использующие в качестве управляющих серверов узлы в зоне .bit, известны будто мало-мало с 2013 года, однако вирусописатели нечасто используют домены Namecoin в качестве адресов командных серверов.

Антивирус Dr.Web успешно обнаруживает и удаляет этого троянца, потому он не представляет опасности для наших пользователей.

ITnews: Новости ИТ

Updated: 03.08.2016 — 13:34

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Последние компьютерные новости на allcompinfo.com! © 2018