Новый троян заражает банкоматы

Александр Панасенко 04 Марта 2014 - 13:35

...

Вредоносные программы, заражающие электронную «начинку» банкоматов, — явление не слишком распространенное, поэтому появление новых образцов подобного ПО неизменно вызывает интерес специалистов. В распоряжении вирусных аналитиков компании «Доктор Веб» появился образец троянца Trojan.Skimer.19, способного инфицировать банкоматы одного из зарубежных производителей, используемые многочисленными банками на территории России и Украины.

Это уже третий тип банкоматов, на которые ориентированы троянцы семейства Trojan.Skimer. Согласно имеющейся у «Доктор Веб» информации, организованные злоумышленниками атаки на банковские системы с применением Trojan.Skimer.19 продолжаются и по сей день, сообщает drweb.com.

Основной вредоносный функционал этого троянца, как и его предыдущих модификаций, реализован в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла, детектируемого антивирусным ПО Dr.Web как Trojan.Starter.2971. Если в инфицированной системе используется файловая система NTFS, Trojan.Skimer.19 также хранит свои файлы журналов в потоках — в эти журналы троянец записывает треки банковских карт, а также ключи, используемые для расшифровки информации.

Заразив операционную систему банкомата, Trojan.Skimer.19 перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду. Среди выполняемых команд можно перечислить следующие:

сохранить лог-файлы на чип карты, расшифровать PIN-коды;
удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз – не позднее 10 секунд после первого);
вывести на дисплей банкомата окно со сводной статистикой: количество выполненных транзакций, уникальных карт, перехваченных ключей и т. д.;
уничтожить все файлы журналов;
перезагрузить систему;
обновить файл троянца, считав исполняемый файл с чипа карты.

Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства.

Для расшифровки данных Trojan.Skimer.19 применяет либо встроенное ПО банкомата, либо собственную реализацию симметричного алгоритма шифрования DES (Data Encryption Standard), используя ранее перехваченные и сохраненные в журнале ключи.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вероника Дубровская 02 Мая 2024 - 15:54

Уязвимости программ Домашние пользователи Корпорации

Особенность языка R позволяет выполнять код с помощью RDS и RDX-файлов

Новая брешь обнаружена в софте, написанном на языке программирования R, которая позволяет выполнить произвольный код при десериализации специально созданных файлов RDS и RDX.

R — это язык программирования с открытым исходным кодом, который особенно популярен среди статистиков и специалистов по сбору данных, также использующийся в областях машинного обучения и искусственного интеллекта.

Специалисты из HiddenLayer обнаружили в программах на R уязвимость CVE-2024-27322, которая оценивается в 8,8 балла по метрике CVSS. Данная брешь позволяет злоумышленникам выполнять произвольный код на целевых машинах, когда жертва открывает RDS или RDX-файлы.

Уязвимость использует способ, которым R обрабатывает сериализацию и десериализацию, в частности с помощью «объектов обещаний» и «ленивой оценки».

Хакеры внедряют объект обещаний с произвольным кодом в RDS-файл, который будет выполнен при условии загрузки заражённого объекта.

Сложность атаки заключается в том, что злоумышленники должны убедить жертву скачать данный файл себе на устройство. Некоторые хакеры выбирают пассивный вариант, распространяя зараженные пакеты в широко используемых репозиториях.

Язык программирования R все чаще используется в критически важных отраслях, поэтому данная проблема вызывает опасения. Уязвимость может привести к полной компрометации системы, в которой запущена программа.

Просматривая репозитории, исследователи из HiddenLayer обнаружили, что readRDS, один из многих способов эксплуатации этой уязвимости, упоминается более чем в 135 000 исходных файлов R. Среди исходных файлов, содержащих потенциально уязвимый код, были проекты от R Studio, Facebook, Google, Microsoft, AWS и других крупных производителей программного обеспечения.

Эксперты CERT/CC предупредили организации, использующие R и функцию readRDS в непроверенных пакетах, о необходимости обновления до R Core версии 4.4.0, в которой была устранена уязвимость.

Для пользователей, не имеющих возможности перехода на новую версию, рекомендовано внедрить дополнительные уровни безопасности, например, запускать файлы RDS/RDX в изолированных средах, таких как песочницы и контейнеры, чтобы предотвратить выполнение кода в базовой системе.

Новый троян заражает банкоматы

Читайте также