События

Обнаружен новый опасный троян для POS-терминалов

Обнаружен новый опасный троян для POS-терминалов

ИБ-исследователи компании «Доктор Веб» обнаружили новую модификацию известного POS-трояна. Новое вредоносное ПО является усовершенствованной версией трояна Trojan.MWZLesson.

Проанализированный экспертами образец Trojan.Kasidet.1 (по классификации «Доктор Веб») распространяется в виде ZIP-архива, содержащего файл с расширением .SCR. Данный файл представляет собой самораспаковывающийся SFX-RAR-архив и предназначен для извлечения и запуска вредоносной программы на атакуемом устройстве.

Троян проверяет наличие на инфицированной системе собственной копии и пытается обнаружить виртуальные машины, эмуляторы и отладчики. При нахождении опасной для себя программы Trojan.Kasidet.1 завершает работу. В противном случае вредоносное ПО пытается запуститься на инфицированном устройстве с правами администратора. На экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC). Издателем запускаемого приложения wmic.exe является корпорация Microsoft, что должно усыпить бдительность потенциальной жертвы. В свою очередь, утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1.

Trojan.Kasidet.1 способен сканировать оперативную память инфицированного устройства на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на подконтрольный злоумышленниками сервер. Помимо этого, троян может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов. Вредоносное ПО по команде с C&C-сервера может скачать и запустить на инфицированном устройстве другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо сообщить им список работающих на компьютере процессов.

В отличие от Trojan.MWZLesson, адреса C&C-серверов Trojan.Kasidet.1 расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным сетевым ресурсам обычные web-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов.

Автор: Сергей Куприянов
3.08.2016 (09:41)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.