Обнаружен троянец заражающий POS-терминалы

Обнаружен троянец заражающий POS-терминалы

Обнаружен троянец заражающий POS-терминалы

Злоумышленники традиционно проявляют интерес к POS-терминалам, предназначенным для оплаты товаров и услуг с помощью банковских карт. Специалистам по информационной безопасности известно множество троянцев, позволяющих киберпреступникам перехватывать обрабатываемые подобными устройствами данные. 

Одна из таких вредоносных программ, являющаяся модификацией другого известного POS-троянца, была недавно исследована вирусными аналитиками компании «Доктор Веб».

Троянец, добавленный в вирусные базы под именем Trojan.Kasidet.1, является модификацией вредоносной программы Trojan.MWZLesson, о которой компания «Доктор Веб» уже рассказывала в сентябре 2015 года в одной из своих публикаций. Помимо функций троянца для POS-терминалов Trojan.MWZLesson обладает возможностью перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome, Internet Explorer и Maxthon, пишет drweb.ru.

Исследованный специалистами «Доктор Веб» образец Trojan.Kasidet.1 распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает на атакуемом компьютере саму вредоносную программу.

В первую очередь троянец проверяет наличие в инфицированной системе собственной копии, а также пытается обнаружить в своем окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдет программу, которую сочтет для себя опасной, он завершит свою работу. Если таких программ нет, Trojan.Kasidet.1пытается запуститься на зараженном компьютере с правами администратора. При этом на экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC), однако издателем запускаемого приложения wmic.exe является корпорация Microsoft, что должно усыпить бдительность потенциальной жертвы:

 

 

В свою очередь, утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1. Как и Trojan.MWZLesson, этот троянец умеет сканировать оперативную память инфицированного устройства на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, он может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов. Также эта вредоносная программа по команде с управляющего сервера может скачать и запустить на зараженном ПК другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо сообщить им список работающих на компьютере процессов.

Ключевым отличием Trojan.Kasidet.1 от Trojan.MWZLesson является то, что адреса его управляющих серверов расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным сетевым ресурсам обычные веб-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов. Вредоносные программы, использующие в качестве управляющих серверов узлы в зоне .bit, известны как минимум с 2013 года, однако вирусописатели нечасто используют домены Namecoin в качестве адресов командных серверов.

Телега начала возвращать деньги за подписку «Телега Плюс»

История с альтернативным телеграм-клиентом Телега получила продолжение. После объявления о прекращении работы команда проекта сообщила, что уже начала автоматически возвращать пользователям деньги за подписку «Телега Плюс».

Возвраты стартовали сразу после решения о закрытии сервиса. В компании подчеркивают: никаких заявлений подавать не нужно.

Деньги вернут автоматически, а пользователям отправят электронные чеки. Весь процесс может занять до недели.

Если подписка была оформлена после 27 мая 2026 года, стоимость компенсируют полностью. Тем, кто купил трехмесячный тариф раньше этой даты, вернут сумму за неиспользованный период.

Разработчики отдельно предупредили о возможных мошенниках. По их словам, команда не рассылает сообщения, не просит сообщить коды подтверждения и не отправляет ссылки для оформления возврата.

Напомним, о закрытии Телега стало известно 26 июня. Проект официально прекратит работу с 1 июля 2026 года. В качестве причин разработчики назвали невозможность обеспечить полное соответствие действующим требованиям для телеграм-клиентов, а также внешние ограничения, включая удаление приложения из App Store.

Любопытно, что еще совсем недавно ситуация выглядела прямо противоположной. В мае команда запустила подписку «Телега Плюс» стоимостью 99 рублей в месяц (или 1 рубль в первый месяц для новых пользователей), объяснив это резким ростом аудитории и необходимостью расширять серверные мощности.

Подписчикам обещали приоритетный доступ к сервису во время высокой нагрузки, подчеркивая, что речь идет не об аналоге Telegram Premium, а о механизме стабильного подключения.

Более того, из-за наплыва пользователей разработчикам даже пришлось временно ограничить регистрацию новых аккаунтов.

Однако спустя чуть больше месяца проект фактически свернул работу. Теперь команда сосредоточилась на том, чтобы корректно завершить сервис и вернуть деньги пользователям, оформившим подписку.

RSS: Новости на портале Anti-Malware.ru