Эксперты обнаружили новую разновидность вредоносного ПО Alina
Вредонос Dubbed Spark похищает данные из платежных терминалов станций техобслуживания автомобилей.
Исследователь безопасности Эрик Меррит (Eric Merritt) из компании Trustwave сообщает о вредоносном ПО Dubbed Spark, разновидности вредоноса Alina. Dubbed Spark отличается от основной версии прежде всего тем, что создан на языке программирования AutoIt.
Обычно скомпилированные сценарии весьма примитивны. Но в данном случае мы наблюдаем достаточно изощренную технику эксплуатации. Из-за простоты использования AutoIT злоумышленники могут без труда изменить сигнатуры вредоносного файла и обойти обнаружение антивирусным ПО.
Согласно анализу, проведенному сотрудниками Trustwave, сценарий на AutoIt содержит функции для выделения пространства в памяти и использования его для размещения бинарного кода. Затем сценарий вносит изменения в таблицу адресов импорта и выполняет вредоносный код.
Вредоносный бинарник встраивается в переменную размером 4 000 байт, а функции сценария обеспечивают его загрузку и выполнение. Сценарий преобразуется в исполняемый файл Windows при помощи утилиты Aut2Exe. Исполняемый файл, в свою очередь, создает новый бинарник с вредоносным кодом.
Пресс-секретарь Trustwave Эбби Росс (Abby Ross) сообщает о том, что вредонос был обнаружен в ходе изучения множественных инцидентов безопасности, имевших место в платежных системах станций автосервиса. По данным компании, вредоносом инфицированы множественные PoS-терминалы на территории США.
Вредоносное ПО Alina было обнаружено в конце 2012 года. Trustwave ассоциирует Spark с Alina по ряду причин. Прежде всего, вирус Alina ведет реестр процессов, которые не предназначены для карточных данных. Вредонос Spark ведет аналогичный реестр с добавлением некоторых приложений. Вредоносное ПО и его основная версия обладают одинаковым алгоритмом поиска платежных данных, а для маскировки перехвата карточных данных используют схожие схемы шифрования. Как и все другие версии Alina, Spark добавляет себя в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run\hkcmd, что обеспечивает запуск после перезагрузки системы, сообщают эксперты.
Кроме того, вредоносное ПО Spark имеет общие сходства с вредоносом JackPOS, которое заключается в использовании сценария AutoIt в качестве загрузчика.
Устали от того, что Интернет знает о вас все?