16 września 2015

Od wielu lat terminale POS pozostają jednym z ulubionych celów dla twórców wirusów. Ponieważ ta technologia jest wykorzystywana przez wiele organizacji handlowych na całym świecie do realizacji płatności z użyciem kart bankowych, cyberprzestępcy nie mogli pozostawić jej poza kręgiem swoich zainteresowań. Ostatnio analitycy bezpieczeństwa Doctor Web przeanalizowali kolejnego trojana, który potrafi infekować terminale — ten trojan okazał się być modyfikacją innego złośliwego programu, dobrze znanego naszym analitykom wirusów.

Tuż po uruchomieniu, trojan zaprojektowany do infekowania terminali POS i nazwany Trojan.MWZLesson, modyfikuje gałąź rejestru odpowiedzialną za automatyczne uruchamianie programów. Co więcej, zawiera on moduł sprawdzający pamięć RAM zainfekowanego urządzenia pod kątem danych kart bankowych. Ten kod został zapożyczony z innego trojana zaprojektowanego dla terminali POS i nazwanego Trojan.PWS.Dexter. To malware wysyła wszystkie pozyskane dane kart bankowych i inne przechwycone informacje na serwer kontrolno-zarządzający.

Trojan.MWZLesson potrafi przechwytywać żądania GET i POST wysyłane z przeglądarek zainfekowanych maszyn (Firefox, Chrome lub Internet Explorer). Żądania są przekazywane na serwer kontrolno-zarządzający uruchomiony przez cyberprzestępców. Poza tym ten złośliwy program potrafi wykonywać następujące komendy:

• CMD — przekazanie polecenia do interpretera poleceń (cmd.exe)
• LOADER — pobranie i uruchomienie pliku (dll — z użyciem narzędzia regsrv, vbs — z użyciem narzędzia wscript, exe — uruchomienie bezpośrednie)
• UPDATE — wykonanie samodzielnej aktualizacji rate — ustawienie interwału czasowego dla sesji komunikacyjnych z serwerem kontrolno zarządzającym
• FIND — wyszukiwanie dokumentów z użyciem maski
• DDOS — zestawienie ataku HTTP Flood

Trojan.MWZLesson komunikuje się z serwerem poprzez protokół HTTP; co więcej, wszystkie pakiety wysyłane przez trojana nie są szyfrowane, jednak złośliwy program używa specjalnego parametru cookie, przy braku którego serwer ignoruje otrzymany pakiet.

Podczas analizowania architektury wirusa Trojan.MWZLesson, analitycy bezpieczeństwa Doctor Web doszli do wniosku, że ten trojan jest, tak właściwie, “upośledzoną” wersją złośliwego programu nazwanego BackDoor.Neutrino.50, ponieważ część jego kodu została użyta do stworzenia tej nowej modyfikacji.

BackDoor.Neutrino.50 to wielokomponentowy backdoor wykorzystujący podatność CVE-2012-0158. Było parę przypadków, w których ten złośliwy program był pobrany ze stron zhakowanych przez cyberprzestępców. Uruchomiony, BackDoor.Neutrino.50 sprawdza swoje środowisko pod kątem obecności maszyn wirtualnych. Jeśli wynik tego skanowania jest pozytywny, trojan wyświetla następujący komunikat o błędzie: “Wystąpił nieznany błąd. Błąd - (0x[losowa liczba])”. Następnie BackDoor.Neutrino.50 inicjuje proces samodzielnego usunięcia się z systemu.

Oprócz zdolności do działania na terminalach POS, ten trojan potrafi wykradać informacje zapisane przez klienta Microsoft Mail i szczegóły konta użytego do uzyskania dostępu do zasobów poprzez protokół FTP z użyciem kilku dobrze znanych klientów FTP. W przeciwieństwie do Trojan.MWZLesson, wirus BackDoor.Neutrino.50 potrafi wykonywać więcej poleceń — w szczególności potrafi zestawić kilka typów ataków DDoS, usunąć kilka innych złośliwych programów znalezionych w systemie, a nawet potrafi próbować infekować komputery w sieci LAN.

Sygnatury tych trojanów zostały dodane do bazy wirusów Dr.Web. Dlatego te złośliwe programy nie stanowią zagrożenia dla naszych użytkowników.