Groźny trojan zagraża bankomatom w Rosji i na Ukrainie

W ostatnich dniach do analityków z firmy Doctor Web trafiła próbka złośliwego oprogramowania Trojan.Skimer.19, przeznaczonego do infekowania bankomatów. Najnowszy Trojan z rodziny Trojan.Skimer zagraża bankomatom wykorzystywanym przez wiele rosyjskich i ukraińskich banków. Z danych Doctor Web wynika, że ataki z zastosowaniem Trojan.Skimer.19 nadal trwają.

Podobnie jak we wcześniejszych wersjach, trojan ten został stworzony jako biblioteka łączona dynamicznie (dynamic link library - dll), przechowywana w strumieniu NTFS innego szkodliwego pliku, wykrywanego przez oprogramowanie antywirusowe Dr.Web jako Trojan.Starter.2971. Jeśli w zainfekowanym systemie używany jest NTFS, Trojan.Skimer.19 również przechowuje swoje pliki dzienników w strumieniach - i zapisuje w nich ścieżki kart bankomatowych, jak również klucze używane do odszyfrowania informacji. Trojan ten wykrada wszystkie dane zapisane na karcie bankomatowej i zapisuje je w swoich logach, co daje przestępcom możliwość wykonania duplikatu karty i dostępu do pieniędzy użytkownika.

Reklama

Po zainfekowaniu systemu operacyjnego bankomatu, Trojan.Skimer.19 rejestruje naciśnięcia klawiszy na klawiaturze bankomatu (EPP, Encrypted Pin PAD) w oczekiwaniu na specjalną kombinację, dzięki której jest on aktywowany i może wykonywać polecenia hakerów. Polecenia te obejmują m.in.:

- Zapisanie plików do logowania na karcie chipowej, rozszyfrowanie kodów PIN;

- Usunięcie biblioteki trojana, plików dziennika, "wyleczenie" pliku hosta, ponowne uruchomienie systemu;

- Pokazanie na wyświetlaczu bankomatu statystyk podsumowujących liczbę przeprowadzonych transakcji, unikalnych kart, przechwyconych kluczy, itd.;

- Zniszczenie wszystkich plików dziennika;

- Aktualizowanie pliku Trojana.

Ostatnie wersje Trojan.Skimer.19 można aktywować nie tylko za pomocą kodu wybranego na klawiaturze bankomatu, ale również za pomocą specjalnych kart, jak miało to miejsce w starszych wersjach złośliwego oprogramowania z tej rodziny trojanów. Aby odszyfrować dane, Trojan.Skimer.19 używa albo firmware bankomatu, albo własnej implementacji symetrycznego algorytmu szyfrowania DES (Data Encryption Standard), za pomocą przechwyconych i zapisanych wcześniej w dziennikach kluczy.

Eksperci z Doctor Web informują o kilku wariantach biblioteki, która implementuje złośliwą funkcjonalność nowego trojana, różniących się zestawem realizowanych funkcji.

INTERIA.PL/informacje prasowe
Dowiedz się więcej na temat: bankomat | cyberbezpieczeństwo | trojan | trojan bankowy
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy