Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył nowego trojana wymierzonego w terminale POS

2 sierpnia 2016

Cyberprzestępcy zawsze przejawiali zainteresowanie tworzeniem malware dla terminali POS (Point-of-Sale) używanych do przetwarzania płatności kartowych. Specjaliści zajmujący się bezpieczeństwem IT już jakiś czas temu zaznajomili się z wieloma trojanami dla urządzeń POS umożliwiającymi przesyłanie przestępcom przechwyconych danych konsumentów. Modyfikacja jednego z takich trojanów została ostatnio przebadana przez analityków bezpieczeństwa Doctor Web.

Trojan nazwany Trojan.Kasidet.1 jest zmodyfikowaną wersją wirusa Trojan.MWZLesson. Aby dowiedzieć się więcej o tym zagrożeniu, przeczytaj ten artykuł opublikowany przez Doctor Web we wrześniu 2015. Trojan.MWZLesson potrafi również przechwytywać żądania GET i POST wysyłane z przeglądarek Mozilla Firefox, Google Chrome, Internet Explorera i Maxthon.

Trojan.Kasidet.1 jest dystrybuowany jako archiwum ZIP zawierające plik SCR, będący samorozpakowującym się archiwum SFX-RAR. To z tego pliku wyodrębnia się i uruchamia główny złośliwy “arsenał” wirusa.

Najpierw trojan sprawdza, czy w zainfekowanym systemie obecna jest jego kopia i dowolne maszyny wirtualne, emulatory i debuggery. Jeśli Trojan.Kasidet.1 wykryje program, który w jakikolwiek sposób może ograniczyć jego działanie, to zakończy swoją pracę. W przeciwnym wypadku pozyska uprawnienia administratora i uruchomi się. Nawet jeśli system Kontroli Konta Użytkownika (User Account Control – UAC) wyświetli na ekranie ostrzeżenie, to potencjalna ofiara będzie zaskoczona, ponieważ uruchomiona aplikacja (wmic.exe) wygląda na opracowaną przez Microsoft:

screen <a href=Trojan.Kasidet.1 #drweb"/>

Następnie narzędzie wmic.exe uruchamia plik wykonywalny wirusa Trojan.Kasidet.1. Tak jak Trojan.MWZLesson, skanuje on pamięć komputera pod kątem danych kart bankowych pozyskanych za pomocą terminala POS i przesyła je na serwer kontrolno-zarządzający (C&C) trojana. Dodatkowo wykrada hasła z programów pocztowych Outlook, Foxmail i Thunderbird, oraz może być wbudowywany w przeglądarki Mozilla Firefox, Google Chrome, Microsoft Internet Explorer i Maxthon w celu przechwytywania żądań GET i POST. Ten złośliwy program może również pobierać i uruchamiać na zainfekowanym komputerze inne aplikacje lub złośliwe biblioteki, wyszukiwać konkretne pliki na dysku, lub generować listę uruchomionych procesów i wysyłać ją na serwer C&C.

Jednak, w przeciwieństwie do wirusa Trojan.MWZLesson, adresy serwerów C&C trojana Trojan.Kasidet.1 znajdują się w zdecentralizowanej strefie domenowej —.bit (Namecoin). Jest to system alternatywnych głównych serwerów DNS opartych na technologii Bitcoin. Zwykłe przeglądarki nie mają dostępu do tych zasobów sieciowych, jednakże Trojan.Kasidet.1 używa swoich własnych algorytmów do uzyskiwania adresów IP swoich serwerów C&C. Mimo że złośliwe programy używające technologii Namecoin są znane już od 2013 roku, to nie są zbyt często wykrywane „na wolności”, w przeciwieństwie do innych trojanów.

Antywirusy Dr.Web z powodzeniem wykrywają i usuwają tego trojana, dlatego ten złośliwy program nie stanowi zagrożenia dla użytkowników oprogramowania Dr.Web.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A