В распоряжении вирусных аналитиков компании «Доктор Веб» появился образец трояна Trojan.Skimer.19, способного инфицировать банкоматы одного из зарубежных производителей, используемые многочисленными банками на территории России и Украины. Это уже третий тип банкоматов, на которые ориентированы трояны семейства Trojan.Skimer. Согласно имеющейся у компании информации, организованные злоумышленниками атаки на банковские системы с применением Trojan.Skimer.19 продолжаются и по сей день. Об этом CNews сообщили в «Доктор Веб».
Основной вредоносный функционал этого трояна, как и его предыдущих модификаций, реализован в виде динамической библиотеки, которая хранится в NTFS-потоке другого вредоносного файла, детектируемого антивирусным ПО Dr.Web как Trojan.Starter.2971. Если в инфицированной системе используется файловая система NTFS, Trojan.Skimer.19 также хранит свои файлы журналов в потоках — в эти журналы троян записывает треки банковских карт, а также ключи, используемые для расшифровки информации, рассказали в компании.
Заразив операционную систему банкомата, Trojan.Skimer.19 перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троян активируется и может выполнить введенную злоумышленником на клавиатуре команду. Среди выполняемых команд: сохранить лог-файлы на чип карты, расшифровать PIN-коды; удалить троянскую библиотеку, файлы журналов, «вылечить» файл-носитель, перезагрузить систему (злоумышленники дважды отдают команду инфицированному банкомату, второй раз — не позднее 10 секунд после первого); вывести на дисплей банкомата окно со сводной статистикой — количество выполненных транзакций, уникальных карт, перехваченных ключей и т.д.; уничтожить все файлы журналов; перезагрузить систему; обновить файл трояна, считав исполняемый файл с чипа карты.
"Рассмотрим подробнее тайниковую связь. Тайник представляет собой специально выбранное, а иногда и специально оборудованное место, используемое для обмена секретной информацией и материалами между разведывательной службой и агентами без их личного контакта. Он выбирается или сооружается таким образом, чтобы его можно было легко распознать по описанию (схеме, рисунку), а предметы могли быть вложены в него и изъяты быстро и незаметно. Он должен иметь достаточные внутренние размеры и обеспечивать безопасное хранение материалов, защищая их от повреждения, порчи и случайного обнаружения на протяжении некоторого времени" http://clck.ru/978fZ
Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства, указали в «Доктор Веб».
Для расшифровки данных Trojan.Skimer.19 применяет либо встроенное ПО банкомата, либо собственную реализацию симметричного алгоритма шифрования DES (Data Encryption Standard), используя ранее перехваченные и сохраненные в журнале ключи.
Специалистам «Доктор Веб» известно несколько вариантов библиотеки, в которой реализован вредоносный функционал трояна, отличающихся набором реализуемых функций. Все они детектируются и удаляются антивирусным ПО Dr.Web.