"Доктор Веб": Новый PoS-троян совмещает в себе коды других вредоносных программ

"Доктор Веб": Новый PoS-троян совмещает в себе коды других вредоносных программ

Троян перехватывает запросы GET и POST, отправленные браузером инфицированного устройства.

ИБ-исследователи из компании "Доктор Веб" обнаружили новый PoS-троян, который был создан путем совмещения нескольких кодов других вредоносных программ. При создании трояна, который был добавлен в вирусные базы Dr.Web под названием Trojan.MWZLesson, использовались такие вредоносы, как Dexter PoS и бэкдор Neutrino.

По словам экспертов, вредоносное ПО пересылает все собранные данные о банковской карте и другую перехваченную информацию на C&C-сервер злоумышленников. Trojan.MWZLesson инфицирует PoS-терминалы и сканирует оперативную память устройства на наличие реквизитов банковских карт. Вредонос связывается с сервером через HTTP-протокол и передает похищенные с помощью перехвата запросов GET и POST данные на C&C-сервер.

Специалисты отмечают, что троян может перехватывать GET и POST запросы, отправленные браузером инфицированного устройства, в том числе Firefox, Chrome или Internet Explorer. Запросы перенаправляются на C&C-сервер злоумышленников. Trojan.MWZLesson способен сам себя обновлять, загружать и запускать дополнительные файлы, искать конкретные документы, а также осуществлять атаку типа HTTP-флуд.

Исследователи также обнаружили, что троян использует определенные функции других вредоносов для того, чтобы избежать обнаружения и ликвидации на инфицированном устройстве. Trojan.MWZLesson способен искать в виртуальной среде всю информацию о скомпрометированном PoS-терминале, эксфильтрировать разные виды данных, а также удалять другие вредоносы, которые содержит инфицированное устройство.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!