Атака на платежные терминалы

Компания «Доктор Веб» опубликовала сведения о заражении троянцем Trojan.PWS.OSMP терминалов одной из крупнейших российских платежных систем. Вредоносное ПО вмешивается в работу легального процесса maratl.exe, запущенного в ОС терминала, и подменяет номер счета, на который пользователь проводит платеж. Таким образом, деньги попадают напрямую к злоумышленникам.

Первоначально в ОС Windows платежного терминала попадает BackDoor.Pushnik – исполняемый файл на языке Delphi. Он передается через съемные носители, в частности USB Flash, при подключении их к терминалу. В дальнейшем бэкдор получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит задача загрузить исполняемый файл троянца с третьего сервера.

Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в ОС, она проверяет установленное на терминале ПО в поисках процесса maratl.exe, и встраивается в процесс, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля, действует по другой схеме. Она крадет конфигурационный файл, что предположительно может помочь злоумышленникам создать поддельный терминал на обычном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

Сейчас можно с уверенностью говорить, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. По оценкам специалистов процессинговой компании, вероятность заражения терминалов этим троянцем невысока ввиду специфики обслуживания, а активность Trojan.PWS.OSMP сейчас оценивается как низкая.