Groźny Trojan zagra a bankomatom w Rosji i na Ukrainie

Wrocław, baza firm, oferty pracy, branża IT :: WroclawIT.pl
Groźny Trojan zagraża bankomatom w Rosji i na Ukrainie
Ataki hakerskie na bankomaty nie są częstym zjawiskiem, dlatego też każde nowe, złośliwe
oprogramowania tego rodzaju przyciąga uwagę specjalistów od bezpieczeństwa IT. W ostatnich dniach do
analityków z firmy Doctor Web trafiła próbka Trojan.Skimer.19, przeznaczonego do infekowania
bankomatów. Najnowszy Trojan z rodziny Trojan.Skimer zagraża bankomatom wykorzystywanym przez
wiele rosyjskich i ukraińskich banków. Z danych Doctor Web wynika, że ataki z zastosowaniem
Trojan.Skimer.19 nadal trwają.
Podobnie jak we wcześniejszych wersjach, Trojan ten został stworzony jako biblioteka łączona
dynamicznie (dynamic link library - dll), przechowywana w strumieniu NTFS innego szkodliwego pliku,
wykrywanego przez oprogramowanie antywirusowe Dr.Web jako Trojan.Starter.2971. Jeśli w
zainfekowanym systemie używany jest NTFS, Trojan.Skimer.19 również przechowuje swoje pliki
dzienników w strumieniach i zapisuje w nich ścieżki kart bankomatowych, jak również klucze używane
do odszyfrowania informacji. Trojan ten wykrada wszystkie dane zapisane na karcie bankomatowej i
zapisuje je w swoich logach, co daje przestępcom możliwość wykonania duplikatu karty i dostępu do
pieniędzy użytkownika.
Po zainfekowaniu systemu operacyjnego bankomatu, Trojan.Skimer.19 rejestruje naciśnięcia klawiszy na
klawiaturze bankomatu (EPP, Encrypted Pin PAD) w oczekiwaniu na specjalną kombinację, dzięki której
jest on aktywowany i może wykonywać polecenia hakerów. Polecenia te obejmują m.in.:
- Zapisanie plików do logowania na karcie chipowej, rozszyfrowanie kodów PIN;
- Usunięcie biblioteki trojana, plików dziennika, "wyleczenie" pliku hosta, ponowne uruchomienie
systemu;
- Pokazanie na wyświetlaczu bankomatu statystyk podsumowujących liczbę przeprowadzonych
transakcji, unikalnych kart, przechwyconych kluczy, itd.;
- Zniszczenie wszystkich plików dziennika;
- Aktualizowanie pliku Trojana.
Ostatnie wersje Trojan.Skimer.19 można aktywować nie tylko za pomocą kodu wybranego na klawiaturze
bankomatu, ale również za pomocą specjalnych kart, jak miało to miejsce w starszych wersjach
złośliwego oprogramowania z tej rodziny trojanów. Aby odszyfrować dane, Trojan.Skimer.19 używa albo
firmware bankomatu, albo własnej implementacji symetrycznego algorytmu szyfrowania DES (Data
Encryption Standard), za pomocą przechwyconych i zapisanych wcześniej w dziennikach kluczy.
Eksperci z Doctor Web informują o kilku wariantach biblioteki, która implementuje złośliwą
funkcjonalność nowego Trojana, różniących się zestawem realizowanych funkcji. Wszystkie z nich są
skutecznie wykrywane i usuwane przez oprogramowanie antywirusowe Dr.Web
http://www.wroclawit.pl
Kreator PDF
Utworzono 7 March, 2017, 14:37