Nowy Trojan infekuje bankomaty ATM

Specjaliści z firmy Doctor Web ostrzegają przed złośliwym oprogramowaniem o nazwie Trojan.Skimer.18, przeznaczonym do kradzieży danych z kart bankomatowych. Używając tego malware, przestępcy obrali sobie za cel bankomaty pochodzące od jednego z największych producentów tego typu urządzeń.

Trojan.Skimer.18 nie jest pierwszym backdoorem infekującym oprogramowanie bankomatów, ale jest pierwszym malware na taką skale atakującym urządzenia zlokalizowane na całym świecie. Został stworzony jako biblioteka łączona dynamicznie (dynamic link library - dll), ładowana przez zainfekowaną aplikację.

Po autoryzacji użytkownika, Trojan.Skimer.18 odczytuje i zapisuje w swoim logu informacje z tzw. drugiej ścieżki zapisu na pasku magnetycznym karty (zawierające jej numer, datę ważności i trzyznakowy kod usługi powiązany z kartą, określający sposób rozliczenia transakcji, przetwarzania autoryzacji użytkownika i zakres dostępnych usług) oraz kod PIN karty. Producenci bankomatów stosują specjalną technologię, która umożliwia szyfrowaną transmisję kodów PIN wprowadzanych do bankomatu, a klucz szyfrujący jest regularnie uaktualniany przez serwer banku. Trojan.Skimer.18 omija to zabezpieczenie i wykorzystuje oprogramowanie bankomatu do rozszyfrowania kodów PIN.

Podobnie jak we wcześniejszych wersjach tego rodzaju Trojanów, tak i tu do kontrolowania programu używana jest odpowiednio spreparowana karta. Gdy tylko zainfekowany bankomat wykryje taką kartę w swoim czytniku, wyświetli okno dialogowe Trojana. Do zapewnienia intruzowi kontroli nad urządzeniem używany jest interfejs XFS (Extensions for Financial Services - interfejs służący do wymiany danych między bankomatem, a systemami finansowymi). Ponieważ bankomaty nie posiadają w pełni funkcjonalnej klawiatury PC, Trojan używa interfejsu XFS do przechwytywania zaszyfrowanych danych wprowadzanych z klawiatury numerycznej bankomatu i wyświetla je w swoim oknie.

Po wydaniu odpowiedniej komendy, skradzione informacje są również zapisywane na karcie użytej przez intruza, po uprzedniej, dwuetapowej kompresji.

Odpowiedz

Plain text

  • Znaczniki HTML niedozwolone.
  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Znaki końca linii i akapitu dodawane są automatycznie.
Realizacja: SIPLEX Studio