PDA

Просмотр полной версии : Обнаружен новый троян для POS-терминалов



sucub
01.10.2015, 08:40
Компания «Доктор Веб» сообщила о результатах исследования троянского ПО, способного заражать POS-терминалы. Как выяснилось, это модификация другой вредоносной программы, уже знакомой вирусным аналитикам компании.

POS-троян, добавленный в вирусные базы Dr.Web под именем Trojan.MWZLesson, после запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Этот код позаимствован у другой предназначенной для заражения POS-терминалов программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троян передает на управляющий сервер.

Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, дублируя их на принадлежащий злоумышленникам управляющий сервер. Кроме того, вредоносная программа может выполнять следующие команды:
CMD – передает поступившую директиву командному интерпретатору CMD;
LOADER – скачивает и запускает файл (dll – c использованием утилиты regsrv, vbs – c использованием утилиты wscript, exe — осуществляется непосредственный запуск);
UPDATE – команда обновления; rate – задает временной интервал сеансов связи с управляющим сервером;
FIND – поиск документов по маске;
DDOS – начать DDoS-атаку методом http-flood.

Обмен данными с управляющим центром ведется по протоколу HTTP, пакеты, которые троянец отсылает на удаленный сервер, не шифруются, однако в них используется специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие запросы.

В процессе изучения внутренней архитектуры Trojan.MWZLesson вирусные аналитики «Доктор Веб» пришли к выводу, что этот троян им хорошо знаком, часть его кода раньше встречалась в составе другой вредоносной программы – BackDoor.Neutrino.50 (Trojan.MWZLesson по сути является ее урезанной версией).

BackDoor.Neutrino.50 представляет собой многофункциональный бэкдор, использующий при распространении эксплойты для уязвимости CVE-2012-0158. Зафиксированы случаи загрузки этой программы с различных взломанных злоумышленниками сайтов. При запуске BackDoor.Neutrino.50 проверяет наличие в своем окружении виртуальных машин и в случае их обнаружения выводит сообщение об ошибке: An unknown error occurred. Error — (0x[случайное число]), после чего удаляет себя из системы.

Помимо функций трояна для POS-терминалов, этот бэкдор способен красть информацию из почтового клиента Microsoft, а также учетные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов. Кроме директив, характерных для Trojan.MWZLesson, троян BackDoor.Neutrino.50 умеет выполнять и другие команды, в частности, может вести несколько типов DDoS-атак, удалять некоторые другие работающие на инфицированной машине вредоносные программы, а также может попытаться заразить компьютеры, доступные в локальной сети.

Ingenico: Новый POS-троян не представляет опасности для EFT POS-устройств
Технический директор ООО «Инженико» С.А. Суслов, к которому редакция PLUSworld.ru обратилась за комментарием, подчеркнул:

«Сразу оговорюсь, POS-терминалы, о которых говорится в статье, — это класс устройств широко применяемый для контрольно-кассовой техники (ККМ). Для ККМ характерно использование обычных ПК и операционных систем, например систем семейства Windows Embedded. Для EFT POS устройств (например, терминалов и пинпадов Ingenico) указанная в статье опасность отсутствует. Это проистекает из того простого факта, что EFT POS устройства используют специализированную операционную систему, а любой исполняемый файл или часть программы должен быть подписан по специальной процедуре. «Заразить» такое устройство на порядок сложнее, терминалы проходят жесткую сертификацию PCI PTS, вендоры ПО — PA DSS, банки – PCI DSS. Если все элементы защиты включены, используются, опасности нет. А вот что касается POS-терминалов ККМ, все сложнее, необходим «присмотр» толкового системного администратора. Тем более, если система не сертифицирована на хранение треков и номеров карт по стандартам PA DSS, P2PE».

Это подтверждают и в «Доктор Веб». Компания в ответ на запрос редакции PLUSworld.ru подчеркнула:

«И Trojan.MWZLesson, и BackDoor.Neutrino.50 написаны на языке Си для архитектуры Windows, и, соответственно, способны заражать только устройства, использующие операционные системы этого семейства (в том числе, WindowsEmbedded). Если терминал использует другую ОС, эти троянцы не представляют для него опасности».
источник (http://www.e-moneynews.ru/obnaruzhen-novyiy-troyan-dlya-pos-terminalov/)