Перейти к содержанию

Троян атакует платежные терминалы QIWI


Воронцов

Рекомендуемые сообщения

Компания "Доктор Веб" сообщила об обнаружении трояна Trojan.PWS.OSMP, заражающего терминалы одной из крупнейших российских платежных систем. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая "флешка" подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит "задача" загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троян проверяет программное обеспечение, установленное на терминале и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

Сейчас можно с уверенностью говорить, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. Специалисты "Доктор Веб" уже передали всю известную им информацию компании — владельцу терминалов, которые находятся под угрозой.

По оценкам специалистов из процессинговой компании вероятность заражения терминалов этим трояном является невысокой ввиду специфики обслуживания. По их словам, активность Trojan.PWS.OSMP на данный момент оценивается как низкая.

Источник.

Изменено пользователем Воронцов
Ссылка на комментарий
Поделиться на другие сайты

Топикстартер попросил меня прокомментировать. Нет проблем, комментирую: данный терминал - это не более чем компьютер под Windows ... с сотовым модемом, принтером и купюроприемником. Так что технически там можно запустить что угодно, но возникает ряд интересных моментов:

- создатель зловреда точно знал, как устроен терминал, какие там процессы, как и куда внедряться и т.п. А откуда это может знать сторонний зловредописатель ? Получается, что создателю зверя нужно иметь или образец терминала (чтобы разломать его и получить доступ к ОС и изучить, что там и как), либо это кто-то из обслуживающего терминал персонала, программистов или админов системы терминалов. Равно как изучив зловреда несложно проследить, куда именно переводятся деньги - и на основании этих данных поймать паршивца (так как заплатив деньги и не получив их там, куда они платились пользователь начнет скандалить, предъявлять чек и т.п. - будет уголовное дело, пойдет разборка).

- как зловред может попасть в терминал ? Я не помню, чтобы там на передней панели был разъем, подписанный "зараженные флешки подключать тут". Это возвращает нас к предыдущему пункту - что для внедрения зверя нужен доступ к "потрохам" терминала или доступ к нему по сети (почему там может быть включен автозапуск, почему диск с программами не сделали ReadOnly и т.п. - это отдельная тема). А если есть такой доступ - возникает вопрос, зачем такая сложная многоступенчатая схема внедрения ... там и без нее можно натворить до и больше;

- странно, что в платежном терминале нет контроля ПО. Обычно делается так - со всех файлов считаются MD5 и идет контроль, появление любого постороннего файла - немедленный аларм. Почему такого нет - вопрос;

- вопрос, почему не обрезаны привилегии - ведь на спец. ПК нетрудно порезать привилегии и создать политики ограниченного запуска программ - мышь не проскочит;

- для меня как для специалиста ИБ очень странно странно, что терминал имеет полный доступ в Инет, и оттуда могут качаться какие-то программы. Обычно делается просто - поднимается VPN на сеть, с которой работает терминал или банкомат, и никакой речи о неограниченном доступе в Инет нет - только обмен с этой сетью. VPN с шифрованием, и поднятие левого VPN естественно будет невозможно

- из описания второго трояна получается, что там в терминале в отрытом виде (или в некоем не совсем открытом, но допускающем анализ) лежат какие-то конфигурационные файлы и настройки, используя которые можно создать свой терминал. Что опять-же странно - давно и учпешно применяются аппаратные средства, типа eToken, делающие такие фокусы невозможным (конечно, токен или его аналог можно стащить вместе с терминалом, но по факту кражи его можно немедленно заблокировать)

 

Так что если все обстоит так, как описано - то в появлении трояна ничего странного нет :appl: И собственно главный момент - из заметки выходит, что создатели терминала не предприняли никаких мер защиты (о каких мерах там вообще говорить, если у терминала неограниченный доступ в Инет и включен автозапуск с флешек).

Изменено пользователем Zaitsev Oleg
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

мде )) интересно чем думал мошенник.. если его все равно запилят по номеру счета ))

а сколько вымогателей типа Винлокеров ходит с требованием пополнить счет сотового телефона? Ну и много кого поймали? :appl: Чо-то не особо слышно :)

Ссылка на комментарий
Поделиться на другие сайты

Интересно, а как представители Доктора Веба получили логи заражения из этих терминалов? Как они смогли определить наличие вируса?

Ссылка на комментарий
Поделиться на другие сайты

И всё же хотелось бы узнать, как смогла компания «Доктор Web» обнаружить это заражение? Судя по http://www.qiwi.ru/mediacenter/press/10545/

компания QIWI не обращалась к вебу за проверкой своих терминалов. Как можно получить сведения о заражении?

Ссылка на комментарий
Поделиться на другие сайты

И всё же хотелось бы узнать, как смогла компания «Доктор Web» обнаружить это заражение?

тссс...не пали Dr.WEB :( . Дай им попользоваться халявкой

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Maksum
      От Maksum
      Скачал вирус в папку temp и %temp%
      Через несколько дней появилось несколько троянов.
      Во время игры, игра свернулась и вышло окно от некого хакера и было написано напиши мне я быстро перезагрузил пк, вошёл в безопасный режим  и начал чистить его с помощью Dr web как очистил трояны ноутбук начал лагать но без троянов чуть позже перепроверил им же оказалось опять появились те же трояны. Теперь даже боюсь лишний раз ноут включать(
      Скиньте пожалуйста скрипт для avz.
      Мой виндовс: 10 домашняя версия для 1 языка 64 бит
      Вот файл с троянами:
      Fitnes.rar
    • orpham
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • GLORYX
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Hendehog
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • SuPeR_1
      От SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
×
×
  • Создать...