Эксперты обнаружили новую разновидность вредоносного ПО Alina

image

Теги: вредоносное ПО, платежные терминалы, хищение карточных данных

Вредонос Dubbed Spark похищает данные из платежных терминалов станций техобслуживания автомобилей.

Исследователь безопасности Эрик Меррит (Eric Merritt) из компании Trustwave сообщает о вредоносном ПО Dubbed Spark, разновидности вредоноса Alina. Dubbed Spark отличается от основной версии прежде всего тем, что создан на языке программирования AutoIt.

Обычно скомпилированные сценарии весьма примитивны. Но в данном случае мы наблюдаем достаточно изощренную технику эксплуатации. Из-за простоты использования AutoIT злоумышленники могут без труда изменить сигнатуры вредоносного файла и обойти обнаружение антивирусным ПО.

Согласно анализу, проведенному сотрудниками Trustwave, сценарий на AutoIt содержит функции для выделения пространства в памяти и использования его для размещения бинарного кода. Затем сценарий вносит изменения в таблицу адресов импорта и выполняет вредоносный код.

Вредоносный бинарник встраивается в переменную размером 4 000 байт, а функции сценария обеспечивают его загрузку и выполнение. Сценарий преобразуется в исполняемый файл Windows при помощи утилиты Aut2Exe. Исполняемый файл, в свою очередь, создает новый бинарник с вредоносным кодом.

Пресс-секретарь Trustwave Эбби Росс (Abby Ross) сообщает о том, что вредонос был обнаружен в ходе изучения множественных инцидентов безопасности, имевших место в платежных системах станций автосервиса. По данным компании, вредоносом инфицированы множественные PoS-терминалы на территории США.

Вредоносное ПО Alina было обнаружено в конце 2012 года. Trustwave ассоциирует Spark с Alina по ряду причин. Прежде всего, вирус Alina ведет реестр процессов, которые не предназначены для карточных данных. Вредонос Spark ведет аналогичный реестр с добавлением некоторых приложений. Вредоносное ПО и его основная версия обладают одинаковым алгоритмом поиска платежных данных, а для маскировки перехвата карточных данных используют схожие схемы шифрования. Как и все другие версии Alina, Spark добавляет себя в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run\hkcmd, что обеспечивает запуск после перезагрузки системы, сообщают эксперты.

Кроме того, вредоносное ПО Spark имеет общие сходства с вредоносом JackPOS, которое заключается в использовании сценария AutoIt в качестве загрузчика.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.