Обнаружен новый опасный троян для POS-терминалов

ИБ-исследователи компании «Доктор Веб» обнаружили новую модификацию известного POS-трояна. Новое вредоносное ПО является усовершенствованной версией трояна Trojan.MWZLesson.

Проанализированный экспертами образец Trojan.Kasidet.1 (по классификации «Доктор Веб») распространяется в виде ZIP-архива, содержащего файл с расширением .SCR. Данный файл представляет собой самораспаковывающийся SFX-RAR-архив и предназначен для извлечения и запуска вредоносной программы на атакуемом устройстве.

Троян проверяет наличие на инфицированной системе собственной копии и пытается обнаружить виртуальные машины, эмуляторы и отладчики. При нахождении опасной для себя программы Trojan.Kasidet.1 завершает работу. В противном случае вредоносное ПО пытается запуститься на инфицированном устройстве с правами администратора. На экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC). Издателем запускаемого приложения wmic.exe является корпорация Microsoft, что должно усыпить бдительность потенциальной жертвы. В свою очередь, утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1.

Trojan.Kasidet.1 способен сканировать оперативную память инфицированного устройства на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на подконтрольный злоумышленниками сервер. Помимо этого, троян может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов.

Вредоносное ПО по команде с C&C-сервера может скачать и запустить на инфицированном устройстве другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо сообщить им список работающих на компьютере процессов.

В отличие от Trojan.MWZLesson, адреса C&C-серверов Trojan.Kasidet.1 расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin.

К подобным сетевым ресурсам обычные web-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов.