Доктор Веб: Новый троян атакует банкоматы на территории России и Украины

image

Теги: Доктор Веб, троян, банкомат

После заражения системы банкомата, троян перехватывает нажатия клавиш EPP.

Специалистам компании «Доктор Веб» удалось обнаружить новый образец трояна, деятельность которого направлена на системы банкоматов одного из зарубежных производителей. Отметим, что подверженные опасности банкоматы используются на территории Украины и России. В «Доктор Веб» отмечают, что троян сейчас активно используется злоумышленниками.

Вредоносный функционал обнаруженной программы реализуется в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла. Если банкомат также использует систему NTFS, то троян хранит свои данные журналов в потоках. Сюда записываются треки банковских карт и ключи, предназначенные для расшифровки информации.

После заражения системы банкомата, он перехватывает нажатия клавиш EPP (Encrypted Pin Pad) «в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду».

Основными функциями трояна является расшифровка PIN-кодов, хранение лог-файлов на чип картах, удаление троянской библиотеки, файлов журналов, перезагрузка системы (два раза подряд, второй раз – не позднее 10 секунд после первого). Помимо этого, вредоносная программа также способна выводить на дисплей банкомата данные о количестве выполненных транзакций, уникальных карт и пр. Троян при необходимости удаляет все файлы журналов, перезагружает систему и обновляет свои файлы, считывая исполняемые файлы с чип карты.

«Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства», - отмечают специалисты «Доктор Веб».

Трояну удается расшифровывать данные при помощи встроенного ПО банкомата, или же посредством симметричного алгоритма шифрования DES (Data Encryption Standard).

Подробно с отчетом «Доктор Веб» можно ознакомиться здесь.


или введите имя

CAPTCHA
БГейтс
04-03-2014 15:11:54
Банкоматы Сбербанка на WinXP, которая с 8.04.2014 никак не защищена от сетевых вторжений. То ли ещё будет...
0 |
ИТ придурки
25-03-2014 16:54:41
Доктор Веб сам как троян кто бы говорил и лучше бы свое поделие бы допилили(самый стремный продукт в классе а еще туда же программисты мать их от Доктор Веб)
0 |
ScayderX
04-03-2014 16:15:01
опачки.. drweb ставим! ))) на банкоматы!?
0 |
Андрей
14-03-2014 09:45:20
В банкоматах сбера теоретически АВПО "должно быть". А практически, особенно на периферии может быть и дрвеб и каспер, может его не быть совсем. Обновления тоже могут быть включены, а могут быть и отключены... Безопасность осуществляется VPN-каналом и шифрованием потока от устройств - а если открыл кузов и получил доступ к ЮСБ - твори что хочешь, более того, скорее всего сервис-инженер оставил автозагрузку с ЮСБ/сд включенной...
0 |
Василий
04-03-2014 21:55:48
Вирус уже более месяца как детектируется нодом и каспером, они только решили написать... юмористы...
0 |
123
05-03-2014 16:46:06
У Россельхоза тоже на WinXP, правда не имеют выход никуда, кроме процессинга.
0 |
Андрей
14-03-2014 09:48:58
Да, собственно, и на любом банкомате, если ты проник в кузов - твори что угодно, вся защита действует внутри закрытого корпуса, если корпус открыл - банкомат с точки зрения ИБ беззащитен. Где-то говорили про видеокамеры - да в банкоматах - во всех установлены две камеры - фронтальная на лицо и на руку, деньгу берущую, но жвачку изобрели еще до банкоматов... а чинят видео значительно реже, чем банкомат заправляют...
0 |