Троян перехватывает запросы GET и POST, отправленные браузером инфицированного устройства.
ИБ-исследователи из компании "Доктор Веб" обнаружили новый PoS-троян, который был создан путем совмещения нескольких кодов других вредоносных программ. При создании трояна, который был добавлен в вирусные базы Dr.Web под названием Trojan.MWZLesson, использовались такие вредоносы, как Dexter PoS и бэкдор Neutrino.
По словам экспертов, вредоносное ПО пересылает все собранные данные о банковской карте и другую перехваченную информацию на C&C-сервер злоумышленников. Trojan.MWZLesson инфицирует PoS-терминалы и сканирует оперативную память устройства на наличие реквизитов банковских карт. Вредонос связывается с сервером через HTTP-протокол и передает похищенные с помощью перехвата запросов GET и POST данные на C&C-сервер.
Специалисты отмечают, что троян может перехватывать GET и POST запросы, отправленные браузером инфицированного устройства, в том числе Firefox, Chrome или Internet Explorer. Запросы перенаправляются на C&C-сервер злоумышленников. Trojan.MWZLesson способен сам себя обновлять, загружать и запускать дополнительные файлы, искать конкретные документы, а также осуществлять атаку типа HTTP-флуд.
Исследователи также обнаружили, что троян использует определенные функции других вредоносов для того, чтобы избежать обнаружения и ликвидации на инфицированном устройстве. Trojan.MWZLesson способен искать в виртуальной среде всю информацию о скомпрометированном PoS-терминале, эксфильтрировать разные виды данных, а также удалять другие вредоносы, которые содержит инфицированное устройство.
Одно найти легче, чем другое. Спойлер: это не темная материя