Новая модификация POS-троянца
Как сообщила компания «Доктор Web», ее вирусные аналитики исследовали вредоносную программу для перехвата данных с POS-терминалов, которая представляет собой модификацию Trojan.MWZLesson, другого известного POS-троянца. Помимо функций, нацеленных на POS-терминалы, Trojan.MWZLesson способен перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome, Internet Explorer и Maxthon.
Троянец, добавленный в вирусные базы «Доктор Web» под именем Trojan.Kasidet.1, распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает на атакуемом компьютере саму вредоносную программу.
В первую очередь троянец проверяет наличие в инфицированной системе собственной копии, а также пытается обнаружить в своем окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдет программу, которую сочтет для себя опасной, он завершит свою работу. Если таких программ нет, Trojan.Kasidet.1 пытается запуститься на зараженном компьютере с правами администратора. При этом на экране демонстрируется предупреждение системы Контроля учетных записей пользователей (User Accounts Control, UAC), однако издателем запускаемого приложения wmic.exe является корпорация Microsoft, что должно усыпить бдительность жертвы.
Утилита wmic.exe, в свою очередь, запускает исполняемый файл Trojan.Kasidet.1. Как и Trojan.MWZLesson, этот троянец умеет сканировать оперативную память инфицированного устройства на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, он может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов. По команде с управляющего сервера программа может скачать и запустить на зараженном ПК другое приложение или вредоносную библиотеку, найти на дисках и передать злоумышленникам заданный файл, либо сообщить им список работающих на компьютере процессов.
Ключевым отличием Trojan.Kasidet.1 от Trojan.MWZLesson является то, что адреса его управляющих серверов расположены в децентрализованной доменной зоне .bit (Namecoin) – системе альтернативных корневых DNS-серверов, основанной на технологии Bitcoin. К подобным сетевым ресурсам обычные Web-браузеры доступа не имеют, однако Trojan.Kasidet.1 использует собственный алгоритм получения IP-адресов командных серверов. Программы, использующие в качестве управляющих серверов узлы в зоне .bit, известны как минимум с 2013 г., однако домены Namecoin нечасто используют в качестве адресов командных серверов.
Троянец Trojan.Kasidet.1, поясняют специалисты компании, успешно обнаруживается и удаляется Антивирусом Dr.Web.