"Доктор Веб": Новый PoS-троян совмещает в себе коды других вредоносных программ

image

Теги: POS-терминал, PoS-троян, хищение данных

Троян перехватывает запросы GET и POST, отправленные браузером инфицированного устройства.

ИБ-исследователи из компании "Доктор Веб" обнаружили новый PoS-троян, который был создан путем совмещения нескольких кодов других вредоносных программ. При создании трояна, который был добавлен в вирусные базы Dr.Web под названием Trojan.MWZLesson, использовались такие вредоносы, как Dexter PoS и бэкдор Neutrino.

По словам экспертов, вредоносное ПО пересылает все собранные данные о банковской карте и другую перехваченную информацию на C&C-сервер злоумышленников. Trojan.MWZLesson инфицирует PoS-терминалы и сканирует оперативную память устройства на наличие реквизитов банковских карт. Вредонос связывается с сервером через HTTP-протокол и передает похищенные с помощью перехвата запросов GET и POST данные на C&C-сервер.

Специалисты отмечают, что троян может перехватывать GET и POST запросы, отправленные браузером инфицированного устройства, в том числе Firefox, Chrome или Internet Explorer. Запросы перенаправляются на C&C-сервер злоумышленников. Trojan.MWZLesson способен сам себя обновлять, загружать и запускать дополнительные файлы, искать конкретные документы, а также осуществлять атаку типа HTTP-флуд.

Исследователи также обнаружили, что троян использует определенные функции других вредоносов для того, чтобы избежать обнаружения и ликвидации на инфицированном устройстве. Trojan.MWZLesson способен искать в виртуальной среде всю информацию о скомпрометированном PoS-терминале, эксфильтрировать разные виды данных, а также удалять другие вредоносы, которые содержит инфицированное устройство.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.