Library
My library

+ Add to library

Profile

Wróć do listy aktualności

Groźny Trojan zagraża bankomatom w Rosji i na Ukrainie

04.03.2014

Ataki hakerskie na bankomaty nie są częstym zjawiskiem, dlatego też każde nowe, złośliwe oprogramowania tego rodzaju przyciąga uwagę specjalistów od bezpieczeństwa IT. W ostatnich dniach do analityków z firmy Doctor Web trafiła próbka Trojan.Skimer.19, przeznaczonego do infekowania bankomatów. Najnowszy Trojan z rodziny Trojan.Skimer zagraża bankomatom wykorzystywanym przez wiele rosyjskich i ukraińskich banków. Z danych Doctor Web wynika, że ataki z zastosowaniem Trojan.Skimer.19 nadal trwają.

Podobnie jak we wcześniejszych wersjach, Trojan ten został stworzony jako biblioteka łączona dynamicznie (dynamic link library - dll), przechowywana w strumieniu NTFS innego szkodliwego pliku, wykrywanego przez oprogramowanie antywirusowe Dr.Web jako Trojan.Starter.2971. Jeśli w zainfekowanym systemie używany jest NTFS, Trojan.Skimer.19 również przechowuje swoje pliki dzienników w strumieniach – i zapisuje w nich ścieżki kart bankomatowych, jak również klucze używane do odszyfrowania informacji. Trojan ten wykrada wszystkie dane zapisane na karcie bankomatowej i zapisuje je w swoich logach, co daje przestępcom możliwość wykonania duplikatu karty i dostępu do pieniędzy użytkownika.

Po zainfekowaniu systemu operacyjnego bankomatu, Trojan.Skimer.19 rejestruje naciśnięcia klawiszy na klawiaturze bankomatu (EPP, Encrypted Pin PAD) w oczekiwaniu na specjalną kombinację, dzięki której jest on aktywowany i może wykonywać polecenia hakerów. Polecenia te obejmują m.in.:

  • Zapisanie plików do logowania na karcie chipowej, rozszyfrowanie kodów PIN;
  • Usunięcie biblioteki trojana, plików dziennika, "wyleczenie" pliku hosta, ponowne uruchomienie systemu;
  • Pokazanie na wyświetlaczu bankomatu statystyk podsumowujących liczbę przeprowadzonych transakcji, unikalnych kart, przechwyconych kluczy, itd.;

    map

  • Zniszczenie wszystkich plików dziennika;
  • Aktualizowanie pliku Trojana.

Ostatnie wersje Trojan.Skimer.19 można aktywować nie tylko za pomocą kodu wybranego na klawiaturze bankomatu, ale również za pomocą specjalnych kart, jak miało to miejsce w starszych wersjach złośliwego oprogramowania z tej rodziny trojanów. Aby odszyfrować dane, Trojan.Skimer.19 używa albo firmware bankomatu, albo własnej implementacji symetrycznego algorytmu szyfrowania DES (Data Encryption Standard), za pomocą przechwyconych i zapisanych wcześniej w dziennikach kluczy.

Eksperci z Doctor Web informują o kilku wariantach biblioteki, która implementuje złośliwą funkcjonalność nowego Trojana, różniących się zestawem realizowanych funkcji. Wszystkie z nich są skutecznie wykrywane i usuwane przez oprogramowanie antywirusowe Dr.Web.

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments