Новый троян заражает банкоматы

Александр Панасенко 04 Марта 2014 - 13:35

...

Вредоносные программы, заражающие электронную «начинку» банкоматов, — явление не слишком распространенное, поэтому появление новых образцов подобного ПО неизменно вызывает интерес специалистов. В распоряжении вирусных аналитиков компании «Доктор Веб» появился образец троянца Trojan.Skimer.19, способного инфицировать банкоматы одного из зарубежных производителей, используемые многочисленными банками на территории России и Украины.

Это уже третий тип банкоматов, на которые ориентированы троянцы семейства Trojan.Skimer. Согласно имеющейся у «Доктор Веб» информации, организованные злоумышленниками атаки на банковские системы с применением Trojan.Skimer.19 продолжаются и по сей день, сообщает drweb.com.

Основной вредоносный функционал этого троянца, как и его предыдущих модификаций, реализован в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла, детектируемого антивирусным ПО Dr.Web как Trojan.Starter.2971. Если в инфицированной системе используется файловая система NTFS, Trojan.Skimer.19 также хранит свои файлы журналов в потоках — в эти журналы троянец записывает треки банковских карт, а также ключи, используемые для расшифровки информации.

Заразив операционную систему банкомата, Trojan.Skimer.19 перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду. Среди выполняемых команд можно перечислить следующие:

сохранить лог-файлы на чип карты, расшифровать PIN-коды;
удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз – не позднее 10 секунд после первого);
вывести на дисплей банкомата окно со сводной статистикой: количество выполненных транзакций, уникальных карт, перехваченных ключей и т. д.;
уничтожить все файлы журналов;
перезагрузить систему;
обновить файл троянца, считав исполняемый файл с чипа карты.

Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства.

Для расшифровки данных Trojan.Skimer.19 применяет либо встроенное ПО банкомата, либо собственную реализацию симметричного алгоритма шифрования DES (Data Encryption Standard), используя ранее перехваченные и сохраненные в журнале ключи.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 21:02

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Лаборатория Касперского

Мошенники угоняют аккаунты Telegram с помощью встроенных приложений

Специалисты «Лаборатории Касперского» выявили новую схему массового угона телеграм-аккаунтов. Авторы атак используют встроенные в мессенджер вредоносные приложения, собирающие коды аутентификации на вход с нового устройства.

Мошеннические сообщения-приманки, как правило, распространяются в многолюдных группах. Получателей извещают о переносе чата из-за потери доступа к админ-аккаунту.

Ложное уведомление содержит ссылку «Перейти в новосозданный чат». При ее активации открывается окно встроенной телеграм-проги с полем для ввода пятизначного кода.

Если пользователь выполнит это действие, в его аккаунт будет добавлено устройство злоумышленников, и они смогут продолжить провокационные рассылки — уже от имени жертвы.

Эксперты не преминули отметить, что обманом полученный доступ к учетной записи Telegram будет вначале ограниченным: мошенники сразу не смогут изучить всю переписку жертвы и заблокировать его устройства. Эти возможности появятся позже, как и блокировка законного владельца аккаунта.

Характерной особенностью данной схемы является иллюзия легитимности: фишинговые ресурсы не используются, мошенническая ссылка привязана к Telegram и ведет в приложение в этом мессенджере. Известие о пересоздании чата тоже вряд ли вызовет подозрения из-за участившихся взломов.

По данным Kaspersky, вредоносные приложения, нацеленные на сбор кодов верификации, объявились в Telegram в конце прошлой недели. Если жертва будет действовать быстро, она сможет вернуть контроль над учётной записью через настройки мессенджера (=> «Конфиденциальность» => «Активные сессии» => «Завершить все другие сеансы»).

«Аккаунты в популярных мессенджерах остаются лакомым куском для злоумышленников, — комментирует Сергей Голованов, главный эксперт ИБ-компании. — Мы напоминаем о необходимости быть крайне внимательными, не переходить по подозрительным ссылкам и ни при каких условиях нигде не вводить код аутентификации, полученный от Telegram, а также устанавливать на все используемые устройства надёжные защитные решения».

Отметим, похожую схему угона телеграм-аккаунтов, тоже с использованием легитимной функциональности мессенджера и социальной инженерии, недавно обнародовала CYFIRMA. Выявленный метод тоже не предполагает взлома, обхода шифрования либо эксплойта уязвимостей; умело спровоцированный юзер сам выдает разрешение на доступ к его учетной записи.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »