Groźny Trojan zagra a bankomatom w Rosji i na Ukrainie
Transkrypt
Groźny Trojan zagra a bankomatom w Rosji i na Ukrainie
Wrocław, baza firm, oferty pracy, branża IT :: WroclawIT.pl Groźny Trojan zagraża bankomatom w Rosji i na Ukrainie Ataki hakerskie na bankomaty nie są częstym zjawiskiem, dlatego też każde nowe, złośliwe oprogramowania tego rodzaju przyciąga uwagę specjalistów od bezpieczeństwa IT. W ostatnich dniach do analityków z firmy Doctor Web trafiła próbka Trojan.Skimer.19, przeznaczonego do infekowania bankomatów. Najnowszy Trojan z rodziny Trojan.Skimer zagraża bankomatom wykorzystywanym przez wiele rosyjskich i ukraińskich banków. Z danych Doctor Web wynika, że ataki z zastosowaniem Trojan.Skimer.19 nadal trwają. Podobnie jak we wcześniejszych wersjach, Trojan ten został stworzony jako biblioteka łączona dynamicznie (dynamic link library - dll), przechowywana w strumieniu NTFS innego szkodliwego pliku, wykrywanego przez oprogramowanie antywirusowe Dr.Web jako Trojan.Starter.2971. Jeśli w zainfekowanym systemie używany jest NTFS, Trojan.Skimer.19 również przechowuje swoje pliki dzienników w strumieniach i zapisuje w nich ścieżki kart bankomatowych, jak również klucze używane do odszyfrowania informacji. Trojan ten wykrada wszystkie dane zapisane na karcie bankomatowej i zapisuje je w swoich logach, co daje przestępcom możliwość wykonania duplikatu karty i dostępu do pieniędzy użytkownika. Po zainfekowaniu systemu operacyjnego bankomatu, Trojan.Skimer.19 rejestruje naciśnięcia klawiszy na klawiaturze bankomatu (EPP, Encrypted Pin PAD) w oczekiwaniu na specjalną kombinację, dzięki której jest on aktywowany i może wykonywać polecenia hakerów. Polecenia te obejmują m.in.: - Zapisanie plików do logowania na karcie chipowej, rozszyfrowanie kodów PIN; - Usunięcie biblioteki trojana, plików dziennika, "wyleczenie" pliku hosta, ponowne uruchomienie systemu; - Pokazanie na wyświetlaczu bankomatu statystyk podsumowujących liczbę przeprowadzonych transakcji, unikalnych kart, przechwyconych kluczy, itd.; - Zniszczenie wszystkich plików dziennika; - Aktualizowanie pliku Trojana. Ostatnie wersje Trojan.Skimer.19 można aktywować nie tylko za pomocą kodu wybranego na klawiaturze bankomatu, ale również za pomocą specjalnych kart, jak miało to miejsce w starszych wersjach złośliwego oprogramowania z tej rodziny trojanów. Aby odszyfrować dane, Trojan.Skimer.19 używa albo firmware bankomatu, albo własnej implementacji symetrycznego algorytmu szyfrowania DES (Data Encryption Standard), za pomocą przechwyconych i zapisanych wcześniej w dziennikach kluczy. Eksperci z Doctor Web informują o kilku wariantach biblioteki, która implementuje złośliwą funkcjonalność nowego Trojana, różniących się zestawem realizowanych funkcji. Wszystkie z nich są skutecznie wykrywane i usuwane przez oprogramowanie antywirusowe Dr.Web http://www.wroclawit.pl Kreator PDF Utworzono 7 March, 2017, 14:37