Новый троян заражает POS-терминалы

contactless620Специалисты компании «Доктор Веб» исследовали очередного троянца, умеющего заражать POS-терминалы, который на поверку оказался модификацией другой вредоносной программы, уже знакомой вирусным аналитикам.

POS-троян Trojan.MWZLesson после своего запуска регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В его архитектуре предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт.

Этот код злоумышленники позаимствовали у другой предназначенной для заражения POS-терминалов вредоносной программы, известной под именем Trojan.PWS.Dexter. Обнаруженные треки и другие перехваченные данные троянец передает на управляющий сервер.

Trojan.MWZLesson умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer, – эти запросы троянец дублирует на принадлежащий злоумышленникам управляющий сервер.

Кроме того, троян способен осуществлять поиск документов по маске, проводить DDoS-атаки методом http-flood, загружать и запускать на выполнение различные файлы.

Обмен данными с управляющим центром Trojan.MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троян отсылает на удаленный сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от троянца запросы.

Напомним, что на днях международная антивирусная компания ESET предупредила о росте активности новой угрозы для Android-устройств — трояна-вымогателя Lockerpin.

Материалы по теме