Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Обнаруженный экспертами троян заражает POS-терминалы

Спонсор рубрики

13:32, 3 Августа 2016 Количество просмотров 712 просмотров

Специалистам по информационной безопасности известно множество троянов, позволяющих киберпреступникам перехватывать обрабатываемые подобными устройствами данные. Одна из таких вредоносных программ, являющаяся модификацией другого известного POS-трояна, была недавно исследована вирусными аналитиками компании «Доктор Веб».

hack3.jpg

Троян, добавленный в вирусные базы под именем Trojan.Kasidet.1, является модификацией вредоносной программы Trojan.MWZLesson, о которой компания «Доктор Веб» уже рассказывала в сентябре 2015 года в одной из своих публикаций. Помимо функций трояна для POS-терминалов Trojan.MWZLesson обладает возможностью перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome, Internet Explorer и Maxthon.

Исследованный специалистами «Доктор Веб» образец Trojan.Kasidet.1 распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает на атакуемом компьютере саму вредоносную программу.

В первую очередь троян проверяет наличие в инфицированной системе собственной копии, а также пытается обнаружить в своем окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдет программу, которую сочтет для себя опасной, он завершит свою работу. Если таких программ нет, Trojan.Kasidet.1 пытается запуститься на зараженном компьютере с правами администратора. При этом на экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC), однако издателем запускаемого приложения wmic.exe является корпорация Microsoft, что должно усыпить бдительность потенциальной жертвы:

В свою очередь, утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1. Как и Trojan.MWZLesson, этот троянец умеет сканировать оперативную память инфицированного устройства на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, он может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов. Также эта вредоносная программа по команде с управляющего сервера может скачать и запустить на зараженном ПК другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо сообщить им список работающих на компьютере процессов.

Ключевым отличием Trojan.Kasidet.1 от Trojan.MWZLesson является то, что адреса его управляющих серверов расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным сетевым ресурсам обычные веб-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов. Вредоносные программы, использующие в качестве управляющих серверов узлы в зоне .bit, известны как минимум с 2013 года, однако вирусописатели нечасто используют домены Namecoin в качестве адресов командных серверов.

По материалам Dr.Web


Как вам статья?
(Голосов: 1, Рейтинг: 5)

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи




Новости по теме

15:28, 29 Июля 2016 Количество просмотров 1750 просмотров
МТС вводит оплату с баланса телефона в офлайн-рознице
В 2016 году оператор МТС запустит услугу оплаты покупок в офлайновых розничных магазинах с лицевого абонентского счета - сообщили СМИ представители оператора.
14:02, 19 Июля 2016 Количество просмотров 1255 просмотров
Токенизация по картам "Мир" будет введена до конца года
Об этом заявил глава Национальной системы платежных карт (НСПК) Владимир Комлев в ходе интервью РИА Новости.
09:32, 12 Июля 2016 Количество просмотров 807 просмотров
НАФИ опубликовало рэнкинги банков на 1 июня 2016 года
НАФИ представляет рэнкинги по основным показателям развития банковского бизнеса: по объему активов, по объему портфеля кредитов физических, юридических лиц и по совокупному кредитному портфелю, а также по остаткам на счетах на 1 июня 2016 года.


Новости по тегам троян, dr web,
00:32, 06.06.2016 Количество просмотров 949 просмотров
Банковский вирус Bolik – опасный наследник Zeus и Carberp
В июне 2016 года вирусные аналитики компании «Доктор Веб» завершили исследование нового опасного вируса. Он способен красть деньги со счетов клиентов российских банков, похищать конфиденциальную информацию и различными способами шпионить за своей жертвой.
09:34, 30.05.2016 Количество просмотров 1238 просмотров
Банковское Android-приложение меняет пароль на устройстве при попытке его удаления из системы
Исследователи компании TrendMicro обнаружили вредоносное банковское приложение под названием Fanta SDK, имитирующее легитимную программу «Сбербанк Онлайн» для ОС Android.
00:02, 13.04.2016 Количество просмотров 1028 просмотров
Новая версия банковского трояна Gozi создает P2P-ботнет
Trojan.Gozi позволяет злоумышленникам похищать данные, которые пользователи вводят в различные экранные формы, фиксировать нажатия клавиш (кейлоггинг), умеет встраивать в просматриваемые на зараженном компьютере веб-страницы постороннее содержимое (то есть, выполнять веб-инжекты).

обновить

а вы знаете, что...

… в Китае в XXV веке до н.э., наряду с бартером, начинают развиваться денежные отношения? Роль "посредничающего" товара, который можно свободно обменять на любой другой, играют в основном ракушки каури, добываемые на близлежащих островах в Тихом океане. Со временем каури становятся основным платежным средством во всем Китае.