Компания McAfee обнаружила на одном из подпольных российских форумах информацию о продаже троянской программы для похищения данных кредитных карточек пользователей POS-терминалов.
Вредоносная программа получила название vSkimmer, и способна работать совместно с подключенными к POS-терминалам ридерами банковских карт, считывая с них дополнительные данные. Вирус также заражает операционную систему Windows, на которой работают другие устройства, подключенные к ридерам. Все похищенные vSkimmer данные отправляются на удаленный сервер.
Предположительно, новый вирус похож на ранее известный вредоносный код Dexter, однако превосходит своего предшественника по функциональности.
В McAfee отмечают, что ботнет vSkimmer «особенно интересен тем, что его целью становятся POS-терминалы под управлением Windows».
Изначально вредоносная деятельность vSkimmer была обнаружена еще 18 января текущего года. Однако функциональность вируса была проанализирована лишь сейчас. Экспертам удалось выяснить, что вредоносная программа похищает из зараженных машин и отправляет на удаленный сервер следующую информацию: версию ОС, GUID-идентификатор, установленный по умолчанию язык, а также данные об активных пользователях и хостах. Украденные данные передаются на удаленный сервер по http в зашифрованном виде.
Помимо всего прочего, вредоносная программа также способна похищать данные Track 2, которые хранятся на магнитной ленте банковской карты жертвы (всю информацию о карте, включая ее номер).
vSkimmer использует стандартный механизм установки, копируя себя под видом svchost.exe в папку %APPDATA%, модифицирует ключ реестра для того, чтобы добавиться в список доверенных приложений. Для запуска вредоносного процесса вирус запускает ShellExecute.
Еще одной особенностью vSkimmer является то, что вирус может работать без подключения к интернету. vSkimmer может сбрасывать похищенные данные на USB-устройства, именуя том USB-носителя, как KARTOXA007.
- Стоимость медиауслуг (открыть PDF) -
.png)