Обнаружен новый троян, заражающий электронную «начинку» банкоматов

В распоряжении вирусных аналитиков компании «Доктор Веб» появился образец трояна Trojan.Skimer.19, способного инфицировать банкоматы одного из зарубежных производителей, используемые многочисленными банками на территории России и Украины. Это уже третий тип банкоматов, на которые ориентированы трояны семейства Trojan.Skimer. Согласно имеющейся у компании информации, организованные злоумышленниками атаки на банковские системы с применением Trojan.Skimer.19 продолжаются и по сей день. Об этом CNews сообщили в «Доктор Веб».

Основной вредоносный функционал этого трояна, как и его предыдущих модификаций, реализован в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла, детектируемого антивирусным ПО Dr.Web как Trojan.Starter.2971. Если в инфицированной системе используется файловая система NTFS, Trojan.Skimer.19 также хранит свои файлы журналов в потоках — в эти журналы троян записывает треки банковских карт, а также ключи, используемые для расшифровки информации, рассказали в компании.

Заразив операционную систему банкомата, Trojan.Skimer.19 перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троян активируется и может выполнить введенную злоумышленником на клавиатуре команду. Среди выполняемых команд: сохранить лог-файлы на чип карты, расшифровать PIN-коды; удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз — не позднее 10 секунд после первого); вывести на дисплей банкомата окно со сводной статистикой — количество выполненных транзакций, уникальных карт, перехваченных ключей и т.д.; уничтожить все файлы журналов; перезагрузить систему; обновить файл трояна, считав исполняемый файл с чипа карты.

Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства, указали в «Доктор Веб».

Для расшифровки данных Trojan.Skimer.19 применяет либо встроенное ПО банкомата, либо собственную реализацию симметричного алгоритма шифрования DES (Data Encryption Standard), используя ранее перехваченные и сохраненные в журнале ключи.

Специалистам «Доктор Веб» известно несколько вариантов библиотеки, в которой реализован вредоносный функционал трояна, отличающихся набором реализуемых функций. Все они детектируются и удаляются антивирусным ПО Dr.Web.

©  CNews