Groźny Trojan zagraża bankomatom

Ataki hakerskie na bankomaty nie są częstym zjawiskiem, dlatego też każde nowe, złośliwe oprogramowania tego rodzaju przyciąga uwagę specjalistów od bezpieczeństwa IT. W ostatnich dniach do analityków z firmy Doctor Web trafiła próbka Trojan.Skimer.19, przeznaczonego do infekowania bankomatów. Najnowszy Trojan z rodziny Trojan.Skimer zagraża bankomatom wykorzystywanym przez wiele rosyjskich i ukraińskich banków. Z danych Doctor Web wynika, że ataki z zastosowaniem Trojan.Skimer.19 nadal trwają.

Obraz
Źródło zdjęć: © SXC.hu

Podobnie jak we wcześniejszych wersjach, Trojan ten został stworzony jako biblioteka łączona dynamicznie (dynamic link library - dll), przechowywana w strumieniu NTFS innego szkodliwego pliku, wykrywanego przez oprogramowanie antywirusowe Dr.Web jako Trojan.Starter.2971. Jeśli w zainfekowanym systemie używany jest NTFS, Trojan.Skimer.19 również przechowuje swoje pliki dzienników w strumieniach – i zapisuje w nich ścieżki kart bankomatowych, jak również klucze używane do odszyfrowania informacji. Trojan ten wykrada wszystkie dane zapisane na karcie bankomatowej i zapisuje je w swoich logach, co daje przestępcom możliwość wykonania duplikatu karty i dostępu do pieniędzy użytkownika.

Po zainfekowaniu systemu operacyjnego bankomatu, Trojan.Skimer.1. rejestruje naciśnięcia klawiszy na klawiaturze bankomatu (EPP, Encrypted Pin PAD) w oczekiwaniu na specjalną kombinację, dzięki której jest on aktywowany i może wykonywać polecenia hakerów. Polecenia te obejmują m.in.:

- Zapisanie plików do logowania na karcie chipowej, rozszyfrowanie kodów PIN;
- Usunięcie biblioteki trojana, plików dziennika, "wyleczenie" pliku hosta, ponowne uruchomienie systemu;
- Pokazanie na wyświetlaczu bankomatu statystyk podsumowujących liczbę przeprowadzonych transakcji, unikalnych kart, przechwyconych kluczy, itd.;
- Zniszczenie wszystkich plików dziennika;
- Aktualizowanie pliku Trojana.

Ostatnie wersje Trojan.Skimer.1. można aktywować nie tylko za pomocą kodu wybranego na klawiaturze bankomatu, ale również za pomocą specjalnych kart, jak miało to miejsce w starszych wersjach złośliwego oprogramowania z tej rodziny trojanów. Aby odszyfrować dane, Trojan.Skimer.19 używa albo firmware bankomatu, albo własnej implementacji symetrycznego algorytmu szyfrowania DES (Data Encryption Standard), za pomocą przechwyconych i zapisanych wcześniej w dziennikach kluczy.

Rewelacyjne oprogramowanie antywirusowe w supercenach! Chroń swój komputer!

Wybrane dla Ciebie
Incydent na wysokości 10 kilometrów. Coś uderzyło w samolot pasażerski
Incydent na wysokości 10 kilometrów. Coś uderzyło w samolot pasażerski
Kosmiczna zbroja. Będzie chronić satelity i astronautów
Kosmiczna zbroja. Będzie chronić satelity i astronautów
Przyjrzeli się śniegowi w Alpach. Nie mają dobrych wieści dla świata
Przyjrzeli się śniegowi w Alpach. Nie mają dobrych wieści dla świata
Rzadkie zjawisko na niebie. Udało mu się je sfotografować
Rzadkie zjawisko na niebie. Udało mu się je sfotografować
Mają najpotężniejszy pocisk na świecie. Stworzył go sojusznik Polski
Mają najpotężniejszy pocisk na świecie. Stworzył go sojusznik Polski
Bat na Shahedy Rosjan. Ukraińcy opracowali Bulleta
Bat na Shahedy Rosjan. Ukraińcy opracowali Bulleta
Problem w otoczeniu Słońca. O tym zagrożeniu wiemy niewiele
Problem w otoczeniu Słońca. O tym zagrożeniu wiemy niewiele
Są główną tarczą antybalistyczną Ukrainy. Ta chce pozyskać kolejne 25 sztuk
Są główną tarczą antybalistyczną Ukrainy. Ta chce pozyskać kolejne 25 sztuk
Wszystko jasne. Berlin zdecydował w sprawie F-35
Wszystko jasne. Berlin zdecydował w sprawie F-35
Prywatny teleskop kosmiczny? Mauve pomoże poszukiwać drugiej Ziemi
Prywatny teleskop kosmiczny? Mauve pomoże poszukiwać drugiej Ziemi
Muffiny z krwią wołową. Tak wpływają na organizm
Muffiny z krwią wołową. Tak wpływają na organizm
Dla Rosjan ten system to rewolucja. Wojsko Polskie już takim dysponuje
Dla Rosjan ten system to rewolucja. Wojsko Polskie już takim dysponuje