Троян атакует платежные терминалы QIWI

[Воронцов]

Компания "Доктор Веб" сообщила об обнаружении трояна Trojan.PWS.OSMP, заражающего терминалы одной из крупнейших российских платежных систем. Эта вредоносная программа вмешивается в работу легального процесса maratl.exe, запущенного в операционной системе терминала, и подменяет номер счета, на который осуществляет платеж пользователь. Таким образом, деньги попадают напрямую к злоумышленникам.

Первоначально в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного злоумышленниками на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только такая "флешка" подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит "задача" загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера.

Trojan.PWS.OSMP – одна из первых вредоносных программ, представляющих опасность для клиентов платежных терминалов. Попадая в операционную систему, троян проверяет программное обеспечение, установленное на терминале и осуществляет поиск процесса maratl.exe, который является вполне легальной программой. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, троянская программа позволяет злоумышленникам исправить любой номер счета, на который пользователи отправляют деньги. Средства, таким образом, попадают напрямую вирусописателям.

Последняя известная модификация Trojan.PWS.OSMP, появившаяся в конце февраля 2011 года, действует уже по другой схеме. Она крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник.

Сейчас можно с уверенностью говорить, что Trojan.PWS.OSMP представляет наибольшую опасность для терминалов, подключенных к Интернету и использующих maratl.exe. Специалисты "Доктор Веб" уже передали всю известную им информацию компании — владельцу терминалов, которые находятся под угрозой.

По оценкам специалистов из процессинговой компании вероятность заражения терминалов этим трояном является невысокой ввиду специфики обслуживания. По их словам, активность Trojan.PWS.OSMP на данный момент оценивается как низкая.

Источник.

Изменено 16 марта, 2011 пользователем Воронцов

[Zaitsev Oleg]

Топикстартер попросил меня прокомментировать. Нет проблем, комментирую: данный терминал - это не более чем компьютер под Windows ... с сотовым модемом, принтером и купюроприемником. Так что технически там можно запустить что угодно, но возникает ряд интересных моментов:

- создатель зловреда точно знал, как устроен терминал, какие там процессы, как и куда внедряться и т.п. А откуда это может знать сторонний зловредописатель ? Получается, что создателю зверя нужно иметь или образец терминала (чтобы разломать его и получить доступ к ОС и изучить, что там и как), либо это кто-то из обслуживающего терминал персонала, программистов или админов системы терминалов. Равно как изучив зловреда несложно проследить, куда именно переводятся деньги - и на основании этих данных поймать паршивца (так как заплатив деньги и не получив их там, куда они платились пользователь начнет скандалить, предъявлять чек и т.п. - будет уголовное дело, пойдет разборка).

- как зловред может попасть в терминал ? Я не помню, чтобы там на передней панели был разъем, подписанный "зараженные флешки подключать тут". Это возвращает нас к предыдущему пункту - что для внедрения зверя нужен доступ к "потрохам" терминала или доступ к нему по сети (почему там может быть включен автозапуск, почему диск с программами не сделали ReadOnly и т.п. - это отдельная тема). А если есть такой доступ - возникает вопрос, зачем такая сложная многоступенчатая схема внедрения ... там и без нее можно натворить до и больше;

- странно, что в платежном терминале нет контроля ПО. Обычно делается так - со всех файлов считаются MD5 и идет контроль, появление любого постороннего файла - немедленный аларм. Почему такого нет - вопрос;

- вопрос, почему не обрезаны привилегии - ведь на спец. ПК нетрудно порезать привилегии и создать политики ограниченного запуска программ - мышь не проскочит;

- для меня как для специалиста ИБ очень странно странно, что терминал имеет полный доступ в Инет, и оттуда могут качаться какие-то программы. Обычно делается просто - поднимается VPN на сеть, с которой работает терминал или банкомат, и никакой речи о неограниченном доступе в Инет нет - только обмен с этой сетью. VPN с шифрованием, и поднятие левого VPN естественно будет невозможно

- из описания второго трояна получается, что там в терминале в отрытом виде (или в некоем не совсем открытом, но допускающем анализ) лежат какие-то конфигурационные файлы и настройки, используя которые можно создать свой терминал. Что опять-же странно - давно и учпешно применяются аппаратные средства, типа eToken, делающие такие фокусы невозможным (конечно, токен или его аналог можно стащить вместе с терминалом, но по факту кражи его можно немедленно заблокировать)

 

Так что если все обстоит так, как описано - то в появлении трояна ничего странного нет И собственно главный момент - из заметки выходит, что создатели терминала не предприняли никаких мер защиты (о каких мерах там вообще говорить, если у терминала неограниченный доступ в Инет и включен автозапуск с флешек).

Изменено 16 марта, 2011 пользователем Zaitsev Oleg

[Добрый Заазыч]

мде )) интересно чем думал мошенник.. если его все равно запилят по номеру счета ))

[Xenon]

мде )) интересно чем думал мошенник.. если его все равно запилят по номеру счета ))

а сколько вымогателей типа Винлокеров ходит с требованием пополнить счет сотового телефона? Ну и много кого поймали? Чо-то не особо слышно

[Добрый Заазыч]

все эти денежные операции пропалить можно... ))

[оlег]

Интересно, а как представители Доктора Веба получили логи заражения из этих терминалов? Как они смогли определить наличие вируса?

[ShRaM]

ответ специалиста ЛК порадовал

[оlег]

И всё же хотелось бы узнать, как смогла компания «Доктор Web» обнаружить это заражение? Судя по http://www.qiwi.ru/mediacenter/press/10545/

компания QIWI не обращалась к вебу за проверкой своих терминалов. Как можно получить сведения о заражении?

[-=Kirill Strelets=-]

И всё же хотелось бы узнать, как смогла компания «Доктор Web» обнаружить это заражение?

тссс...не пали Dr.WEB . Дай им попользоваться халявкой

[Vdeg]

MS Windows (с её дырами) на подобных устройствах - это какое-то недоразумение... Имхо.

 

Страдает, как обычно, потребитель...