Обнаружен троянец заражающий POS-терминалы

Александр Панасенко 02 Августа 2016 - 17:33

...

Злоумышленники традиционно проявляют интерес к POS-терминалам, предназначенным для оплаты товаров и услуг с помощью банковских карт. Специалистам по информационной безопасности известно множество троянцев, позволяющих киберпреступникам перехватывать обрабатываемые подобными устройствами данные.

Одна из таких вредоносных программ, являющаяся модификацией другого известного POS-троянца, была недавно исследована вирусными аналитиками компании «Доктор Веб».

Троянец, добавленный в вирусные базы под именем Trojan.Kasidet.1, является модификацией вредоносной программы Trojan.MWZLesson, о которой компания «Доктор Веб» уже рассказывала в сентябре 2015 года в одной из своих публикаций. Помимо функций троянца для POS-терминалов Trojan.MWZLesson обладает возможностью перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome, Internet Explorer и Maxthon, пишет drweb.ru.

Исследованный специалистами «Доктор Веб» образец Trojan.Kasidet.1 распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает на атакуемом компьютере саму вредоносную программу.

В первую очередь троянец проверяет наличие в инфицированной системе собственной копии, а также пытается обнаружить в своем окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдет программу, которую сочтет для себя опасной, он завершит свою работу. Если таких программ нет, Trojan.Kasidet.1пытается запуститься на зараженном компьютере с правами администратора. При этом на экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC), однако издателем запускаемого приложения wmic.exe является корпорация Microsoft, что должно усыпить бдительность потенциальной жертвы:

В свою очередь, утилита wmic.exe запускает исполняемый файл Trojan.Kasidet.1. Как и Trojan.MWZLesson, этот троянец умеет сканировать оперативную память инфицированного устройства на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, он может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов. Также эта вредоносная программа по команде с управляющего сервера может скачать и запустить на зараженном ПК другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо сообщить им список работающих на компьютере процессов.

Ключевым отличием Trojan.Kasidet.1 от Trojan.MWZLesson является то, что адреса его управляющих серверов расположены в децентрализованной доменной зоне .bit (Namecoin) — системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным сетевым ресурсам обычные веб-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов. Вредоносные программы, использующие в качестве управляющих серверов узлы в зоне .bit, известны как минимум с 2013 года, однако вирусописатели нечасто используют домены Namecoin в качестве адресов командных серверов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Ноября 2025 - 15:45

Android Эксплойты Трояны Шпионские программы Программы слежения Целевые атаки Уязвимость нулевого дня Таргетированные атаки Домашние пользователи Palo Alto Networks

Android-шпион Landfall год следил за владельцами Samsung Galaxy

Эксперты Palo Alto Networks Unit 42 обнаружили новый шпионский софт для Android, который на протяжении почти года тайно заражал смартфоны Samsung Galaxy. Вредонос получил имя Landfall. Исследователи выяснили, что Landfall использовал 0-day (CVE-2025-21042) в программном обеспечении Galaxy. На момент атаки Samsung о ней не знала.

Для заражения злоумышленникам было достаточно отправить жертве изображение, специально подготовленное для эксплуатации уязвимости — без необходимости что-либо открывать или нажимать.

Компания закрыла дыру только в апреле 2025 года, однако атаки, по данным Unit 42, начались ещё в июле 2024-го.

По словам исследователя Итая Коэна, кибероперации были «точечными» и нацеливались на конкретных людей, а не на массовое распространение вредоноса. Это говорит о том, что речь идёт о таргетированных атаках, вероятно с элементами киберразведки.

Landfall, как и другие правительственные шпионские инструменты, мог получать доступ к данным жертвы, включая фотографии, сообщения, контакты, звонки, а также включать микрофон и отслеживать геолокацию.

Семплы вредоноса были загружены на VirusTotal пользователями из Марокко, Ирана, Ирака и Турции. Турецкая команда реагирования USOM уже признала один из IP-адресов, связанных с Landfall, вредоносным. Это подтверждает, что атаки могли затронуть пользователей в Турции.

Интересная деталь: инфраструктура, используемая в кампании Landfall, пересекается с инфраструктурой шпионского проекта Stealth Falcon, который ранее применялся против журналистов и активистов из ОАЭ. Однако доказательств, позволяющих напрямую связать Landfall с этим актором, пока нет.

Код Landfall содержит упоминания пяти моделей Galaxy, включая S22, S23, S24 и некоторые Z-модели. По данным Unit 42, уязвимость могла также затрагивать другие устройства Samsung с Android 13–15.

Компания Samsung пока не прокомментировала результаты расследования.