Новая версия Skimer незаметно считывает данные платежных карт в банкоматах

Исследователи из «Лаборатории Касперского» столкнулись с улучшенной модификацией Skimer. В настоящее время обнаружено 49 разновидностей этого вредоносного ПО, 37 из них работают с банкоматами одного и того же производителя. Последнюю из существующих версий эксперты обнаружили в мае 2016 года. Продукты «Лаборатории Касперского» детектируют вредоносы как Backdoor.Win32.Skimer. Первая разновидность вредоносного ПО для банкоматов была обнаружена экспертами «Лаборатории Касперского» в 2009 году.

Skimer позволяет злоумышленникам не только получить из банкомата денежные средства, но и распечатать собранную информацию о банковских картах (номера счетов и PIN-коды), а также выполнить обновление или самоудаление вредоноса. Копирование информации с карт происходит незаметно, без внешних повреждений банкомата. Заражение долго остается незамеченным, и вредонос способен накопить большое количество данных платежных карт.

Злоумышленники маскируют Skimer с помощью легального упаковщика Themida. После загрузки в систему банкомата вредонос совершает проверку файловой системы. При установленной в банкомате системе FAT32 вредоносный файл netmgr.dll помещается в папку C:\Windows\System32. Если же используется NTFS, вредоносное ПО помещает файл в поток NTFS. После завершения установки Skimer добавляет вызов (Load Library) уже установленного файла netmgr.dll. Load Library позволяет вредоносной программе загрузить свою библиотеку в систему банкомата. Таким образом Skimer получает полный доступ к XFS.

Skimer активизируется, когда преступник вставит в банкомат специальную карту с внедренным в магнитную полосу кодом. Злоумышленники используют два разных типа карт. В случае использования карты первого типа вредонос запрашивает команды через интерфейс банкомата. В магнитной дорожке карты второго типа заведомо закодирована выполняемая вредоносом команда.

Исследователи из «Лаборатории Касперского» советуют проведение систематической антивирусной проверки и полное шифрование дисков. Избежать заражения банкомата вредоносом можно с помощью введения паролей для входа в систему BIOS, а также разрешения загрузки только с жесткого диска.