AM_Bot

Trojan.ProSto.1 продвигает отечественные технологии

В этой теме 4 сообщения

1 апреля 2014 года

События последних нескольких недель, в течение которых компании Visa и MasterCard приостановили процессинг платежей по пластиковым картам для ряда российских банков, породили множество дискуссий о целесообразности развития национальной платежной системы Про100, не зависящей от каких-либо зарубежных организаций. По всей видимости, определенный интерес к этой ситуации проявили и злоумышленники, специализирующиеся на создании вредоносных программ для банкоматов и платежных терминалов. Так, троянец Trojan.ProSto.1 ориентирован в первую очередь на зарубежных держателей банковских карт, пользующихся банкоматами и платежными терминалами на территории России.

Большинство современных банковских карт помимо магнитной полосы имеет встроенный чип с перезаписываемой памятью, позволяющей хранить определенный объем информации о типе карты, реквизитах и валюте счета клиента. Так, в память универсальных электронных карт (УЭК), используемых в российской платежной системе Про100, можно записывать дополнительные данные — в том числе банковское приложение для осуществления дистанционных платежных операций, идентификационные данные держателя карты (включающие цифровую подпись) и электронный кошелек, предназначенный для оплаты проезда в общественном транспорте.

Обнаруженный специалистами компании «Доктор Веб» троянец Trojan.ProSto.1 способен инфицировать банкоматы нескольких производителей, работающие под управлением 32-разрядных операционных систем Microsoft Windows XP, Windows Embdedded и WEPOS (Windows Embedded POSReady). При этом сам троянец не обладает какими-либо модулями для обеспечения саморепликации, поэтому механизм его распространения до настоящего момента остается неизученным. Запустившись на инфицированном устройстве, вредоносная программа проверяет систему на наличие ранее осуществленного заражения во избежание повторной установки. Затем Trojan.ProSto.1 создает собственную копию в папке инсталляции ОС под именем taskmgr.exe и регистрирует ее в качестве системной службы, после чего операционная система принудительно перезагружается. Во временную папку сохраняется файл динамической библиотеки, в которой реализована часть функционала троянца. После повторной загрузки Windows в системе оказываются запущенными два процесса taskmgr.exe, один из которых является легальным. При попытке выгрузить вредоносный процесс троянец выводит на экран диалоговое окно с сообщением об ошибке:

ProSto_1.png

В случае успешной установки Trojan.ProSto.1 с заданной периодичностью опрашивает состояние банкомата. При обнаружении в считывающем устройстве банковской карты с интегрированным чипом троянец осуществляет динамическую проверку значения IIN (Issuer identification number) — номера, в котором закодировано наименование платежной системы и банка-эмитента карты. Если процессинг карты осуществляется международными системами Visa или MasterCard и карта эмитирована банком, расположенным за пределами Российской Федерации, Trojan.ProSto.1 генерирует команду на удаление содержимого чипа, после чего извлекает из динамической библиотеки хранящийся в ней бинарный образ, расшифровывает его и записывает в память карты. При этом предпочтение отдается держателям карт класса Gold и Platinum. В образе содержится банковское приложение российской национальной платежной системы Про100, а также ряд других данных. Таким образом, обладатели банковских карт международного стандарта неожиданно для себя становятся пользователями российской национальной платежной системы со всеми вытекающими последствиями — включая возможность оплаты проезда в общественном транспорте, парковки в Москве, а также дистанционного перечисления средств за коммунальные услуги, штрафов ГИБДД и выплат налогов в российский бюджет.

Специалисты по информационной безопасности склоняются к мнению, что к распространению угрозы могут быть причастны активисты подпольной хакерской организации «Киберпатриоты», ратующие за развитие и повсеместное внедрение информационных технологий российского производства. С 1 апреля 2014 года Trojan.ProSto.1 успешно детектируется и удаляется Антивирусом для встроенных систем Dr.Web ATM Shield.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

дрвебовцы уже запилили опровержение.

ждем когда яндекс напишет о том, что возможность убить муху тапком не попадает под программу награждений за найденные уязвимости :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
дрвебовцы уже запилили опровержение.

ждем когда яндекс напишет о том, что возможность убить муху тапком не попадает под программу награждений за найденные уязвимости :)

Муха - вообще больная тема. Мне в течение дня двое юзеров в панике звонили по поводу этой долбаной мухи. Наверняка принесут несколько моников и ноутов с разбитыми матрицами в ремонт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее