Перейти к содержанию

Троян атакует платежные терминалы QIWI


Воронцов

Рекомендуемые сообщения

Компания "Доктор Веб" сообщила об обнаружении трояна Trojan.PWS.OSMP, заражающего терминалы одной из крупнейших российских платежных систем. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая "флешка" подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит "задача" загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троян проверяет программное обеспечение, установленное на терминале и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

Сейчас можно с уверенностью говорить, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. Специалисты "Доктор Веб" уже передали всю известную им информацию компании — владельцу терминалов, которые находятся под угрозой.

По оценкам специалистов из процессинговой компании вероятность заражения терминалов этим трояном является невысокой ввиду специфики обслуживания. По их словам, активность Trojan.PWS.OSMP на данный момент оценивается как низкая.

Источник.

Изменено пользователем Воронцов
Ссылка на комментарий
Поделиться на другие сайты

Топикстартер попросил меня прокомментировать. Нет проблем, комментирую: данный терминал - это не более чем компьютер под Windows ... с сотовым модемом, принтером и купюроприемником. Так что технически там можно запустить что угодно, но возникает ряд интересных моментов:

- создатель зловреда точно знал, как устроен терминал, какие там процессы, как и куда внедряться и т.п. А откуда это может знать сторонний зловредописатель ? Получается, что создателю зверя нужно иметь или образец терминала (чтобы разломать его и получить доступ к ОС и изучить, что там и как), либо это кто-то из обслуживающего терминал персонала, программистов или админов системы терминалов. Равно как изучив зловреда несложно проследить, куда именно переводятся деньги - и на основании этих данных поймать паршивца (так как заплатив деньги и не получив их там, куда они платились пользователь начнет скандалить, предъявлять чек и т.п. - будет уголовное дело, пойдет разборка).

- как зловред может попасть в терминал ? Я не помню, чтобы там на передней панели был разъем, подписанный "зараженные флешки подключать тут". Это возвращает нас к предыдущему пункту - что для внедрения зверя нужен доступ к "потрохам" терминала или доступ к нему по сети (почему там может быть включен автозапуск, почему диск с программами не сделали ReadOnly и т.п. - это отдельная тема). А если есть такой доступ - возникает вопрос, зачем такая сложная многоступенчатая схема внедрения ... там и без нее можно натворить до и больше;

- странно, что в платежном терминале нет контроля ПО. Обычно делается так - со всех файлов считаются MD5 и идет контроль, появление любого постороннего файла - немедленный аларм. Почему такого нет - вопрос;

- вопрос, почему не обрезаны привилегии - ведь на спец. ПК нетрудно порезать привилегии и создать политики ограниченного запуска программ - мышь не проскочит;

- для меня как для специалиста ИБ очень странно странно, что терминал имеет полный доступ в Инет, и оттуда могут качаться какие-то программы. Обычно делается просто - поднимается VPN на сеть, с которой работает терминал или банкомат, и никакой речи о неограниченном доступе в Инет нет - только обмен с этой сетью. VPN с шифрованием, и поднятие левого VPN естественно будет невозможно

- из описания второго трояна получается, что там в терминале в отрытом виде (или в некоем не совсем открытом, но допускающем анализ) лежат какие-то конфигурационные файлы и настройки, используя которые можно создать свой терминал. Что опять-же странно - давно и учпешно применяются аппаратные средства, типа eToken, делающие такие фокусы невозможным (конечно, токен или его аналог можно стащить вместе с терминалом, но по факту кражи его можно немедленно заблокировать)

 

Так что если все обстоит так, как описано - то в появлении трояна ничего странного нет :appl: И собственно главный момент - из заметки выходит, что создатели терминала не предприняли никаких мер защиты (о каких мерах там вообще говорить, если у терминала неограниченный доступ в Инет и включен автозапуск с флешек).

Изменено пользователем Zaitsev Oleg
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

мде )) интересно чем думал мошенник.. если его все равно запилят по номеру счета ))

а сколько вымогателей типа Винлокеров ходит с требованием пополнить счет сотового телефона? Ну и много кого поймали? :appl: Чо-то не особо слышно :)

Ссылка на комментарий
Поделиться на другие сайты

Интересно, а как представители Доктора Веба получили логи заражения из этих терминалов? Как они смогли определить наличие вируса?

Ссылка на комментарий
Поделиться на другие сайты

И всё же хотелось бы узнать, как смогла компания «Доктор Web» обнаружить это заражение? Судя по http://www.qiwi.ru/mediacenter/press/10545/

компания QIWI не обращалась к вебу за проверкой своих терминалов. Как можно получить сведения о заражении?

Ссылка на комментарий
Поделиться на другие сайты

И всё же хотелось бы узнать, как смогла компания «Доктор Web» обнаружить это заражение?

тссс...не пали Dr.WEB :( . Дай им попользоваться халявкой

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ООО Арт-Гарант
      От ООО Арт-Гарант
      Здравствуйте на группу компаний ООО "Арт-Гарант" была совершена атака вируса ELPACO-team
      Атаке подвергся сервер компании на ОС Windows Server 2008 или Windows Server 2008 R2
      1-я атака состоялась 26.11.2024 18:45-20:33
      2-я атака состоялась 26.11.2024 22:00-23:45
      Обнаружены с начала рабочего дня в 9:00
      3-я атака состоялась 27.11.2024 в около 10:20 до 10:32
      в это же время мы отключили сервер от питания
      в данный момент прилагаю вложениями только зашифрованные файлы, так как нет возможности на момент обращения собрать логи с помощью "Farbar Recovery Scan Tool" (позднее новым сообщением добавлю, как появится уполномоченное лицо с доступом в систему на сервер)

      К вышеуказанному у нас предположение, что атакован в том числе бухгалтерский сервер с базой 1С, т.к. у лица с высшими полномочиями в базе наблюдались большие проблемы с быстродействием. Данный сервер мы отключили от питания в том числе.

      Так  же вопрос, в правилах оформления п4. "Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти" сказано если удалось найти, как это сделать?

      Архив с паролем (virus).zip
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Dairoku69_
      От Dairoku69_
      Попыталась обойти замедление дискорда и ютуба, а наткнулась на майнер и возможно ещё на троян. Сами файлы утилиты я уже удалила, но на устройстве появился майнер и угроза названая трояном в Kaspersky Standart, при этом сам антивирус их удалить не смог. Проверяла систему Dr.Web Curelt, KVRT, первый нашёл и почистил только мелкие файлы, не относящиеся к майнеру с утилиты, второй вообще ничего не нашёл.
       
      Логи:
      CollectionLog-2024.12.13-05.23.zip
       
    • KL FC Bot
      От KL FC Bot
      Крупные онлайн-сервисы купли-продажи прилагают значительные усилия по борьбе с мошенничеством, но киберпреступники постоянно изобретают все новые схемы обмана как покупателей, так и продавцов. В этом году популярность получила схема с онлайн-видеозвонком: «покупатели» просят показать им товар по видео, а на самом деле выманивают коды доступа в банк. Мошенническая схема в четырех актах.
      Акт первый. Подозрение
      К продавцу дорогостоящего или сложного товара (например, телевизора) обращается покупатель, который готов сразу же перевести оплату и максимально быстро забрать товар. Но есть нюанс — сначала он просит показать товар по видео. Функциональность большинства онлайн-барахолок не предусматривает такую возможность, а если она есть, то по «счастливой» случайности оказывается мошеннику неудобна: «Вы знаете, у меня почему-то тут не работает звонок, давайте лучше в WhatsApp?» Так разговор плавно перетекает в мессенджер. Переход в WhatsApp, Telegram или любое другое средство общения помимо официального инструмента площадки объявлений — это красный флаг. На своей территории мошенникам гораздо проще, например, заманить вас на фишинговый сайт, потому что многие онлайн-барахолки попросту не разрешают делиться в чате никакими ссылками.
       
      View the full article
×
×
  • Создать...