Groźny Trojan zagraża bankomatom

Ataki hakerskie na bankomaty nie są częstym zjawiskiem, dlatego też każde nowe, złośliwe oprogramowania tego rodzaju przyciąga uwagę specjalistów od bezpieczeństwa IT. W ostatnich dniach do analityków z firmy Doctor Web trafiła próbka Trojan.Skimer.19, przeznaczonego do infekowania bankomatów. Najnowszy Trojan z rodziny Trojan.Skimer zagraża bankomatom wykorzystywanym przez wiele rosyjskich i ukraińskich banków. Z danych Doctor Web wynika, że ataki z zastosowaniem Trojan.Skimer.19 nadal trwają.

Obraz
Źródło zdjęć: © SXC.hu

Podobnie jak we wcześniejszych wersjach, Trojan ten został stworzony jako biblioteka łączona dynamicznie (dynamic link library - dll), przechowywana w strumieniu NTFS innego szkodliwego pliku, wykrywanego przez oprogramowanie antywirusowe Dr.Web jako Trojan.Starter.2971. Jeśli w zainfekowanym systemie używany jest NTFS, Trojan.Skimer.19 również przechowuje swoje pliki dzienników w strumieniach – i zapisuje w nich ścieżki kart bankomatowych, jak również klucze używane do odszyfrowania informacji. Trojan ten wykrada wszystkie dane zapisane na karcie bankomatowej i zapisuje je w swoich logach, co daje przestępcom możliwość wykonania duplikatu karty i dostępu do pieniędzy użytkownika.

Po zainfekowaniu systemu operacyjnego bankomatu, Trojan.Skimer.1. rejestruje naciśnięcia klawiszy na klawiaturze bankomatu (EPP, Encrypted Pin PAD) w oczekiwaniu na specjalną kombinację, dzięki której jest on aktywowany i może wykonywać polecenia hakerów. Polecenia te obejmują m.in.:

- Zapisanie plików do logowania na karcie chipowej, rozszyfrowanie kodów PIN;
- Usunięcie biblioteki trojana, plików dziennika, "wyleczenie" pliku hosta, ponowne uruchomienie systemu;
- Pokazanie na wyświetlaczu bankomatu statystyk podsumowujących liczbę przeprowadzonych transakcji, unikalnych kart, przechwyconych kluczy, itd.;
- Zniszczenie wszystkich plików dziennika;
- Aktualizowanie pliku Trojana.

Ostatnie wersje Trojan.Skimer.1. można aktywować nie tylko za pomocą kodu wybranego na klawiaturze bankomatu, ale również za pomocą specjalnych kart, jak miało to miejsce w starszych wersjach złośliwego oprogramowania z tej rodziny trojanów. Aby odszyfrować dane, Trojan.Skimer.19 używa albo firmware bankomatu, albo własnej implementacji symetrycznego algorytmu szyfrowania DES (Data Encryption Standard), za pomocą przechwyconych i zapisanych wcześniej w dziennikach kluczy.

Rewelacyjne oprogramowanie antywirusowe w supercenach! Chroń swój komputer!

Wybrane dla Ciebie

Chiny testują tajemniczą rakietę. Ma nietypową trajektorię
Chiny testują tajemniczą rakietę. Ma nietypową trajektorię
Służy Polsce od 6 lat. Jest do naprawy
Służy Polsce od 6 lat. Jest do naprawy
Co oznacza litera "H" w imieniu Jezusa? Nie każdy o tym wie
Co oznacza litera "H" w imieniu Jezusa? Nie każdy o tym wie
Polska wstrzymuje zakup rakiet. Zabrakło na nie pieniędzy?
Polska wstrzymuje zakup rakiet. Zabrakło na nie pieniędzy?
60-letnia zagadka może mieć rozwiązanie. Wszystko przez czarne dziury
60-letnia zagadka może mieć rozwiązanie. Wszystko przez czarne dziury
Zbłąkana planeta. Zorze podgrzewają jej atmosferę
Zbłąkana planeta. Zorze podgrzewają jej atmosferę
Wiedziałeś, że dinozaury wciąż istnieją? Nawet robimy z nich rosół
Wiedziałeś, że dinozaury wciąż istnieją? Nawet robimy z nich rosół
Rozważają przekazanie Tomahawków Ukrainie. Jest reakcja Kremla
Rozważają przekazanie Tomahawków Ukrainie. Jest reakcja Kremla
Rosyjski okręt na Morzu Śródziemnym. Doznał bardzo poważnej awarii
Rosyjski okręt na Morzu Śródziemnym. Doznał bardzo poważnej awarii
Wysycha w rekordowym tempie. Będzie mieć opłakane skutki dla świata
Wysycha w rekordowym tempie. Będzie mieć opłakane skutki dla świata
Bezsenność i demencja. Brak snu przyspiesza zmiany w mózgu
Bezsenność i demencja. Brak snu przyspiesza zmiany w mózgu
Newa SC na straży polskiego nieba. Wojsko pokazało zdjęcia
Newa SC na straży polskiego nieba. Wojsko pokazało zdjęcia