Специалистам компании «Доктор Веб» удалось обнаружить новый образец банковского бота, деятельность которого направлена системы банкоматов одного из зарубежных производителей. Отметим, что подверженные опасности банкоматы используются на территории Украины и России. В «Доктор Веб» отмечают, что троян сейчас активно используется активистами майдана для сбора денег на формирование повстанческих отрядов.
Функционал обнаруженной программы реализуется в виде динамической библиотеки, которая хранится в NTFS-потоке другого файла. Если банкомат также использует систему NTFS, то банковский бот хранит свои данные журналов в потоках. Сюда записываются треки банковских карт и ключи, предназначенные для расшифровки информации.
После внедрения в системы банкомата, он перехватывает нажатия клавиш EPP (Encrypted Pin Pad) «в ожидании специальной комбинации, с использованием которой банковский бот активируется и может выполнить введенную майдановцами на клавиатуре команду». Именно поэтому ПриватБанк Украины недавно ограничил лимит снятия денежных средств через банкоматы.
Основными функциями этого трояна является расшифровка PIN-кодов, хранение лог-файлов на чип картах, удаление троянской библиотеки, файлов журналов, перезагрузка системы (два раза подряд, второй раз – не позднее 10 секунд после первого). Помимо этого, троянская программа также способна выводить на дисплей банкомата данные о количестве выполненных транзакций, уникальных карт и пр. Банковский бот при необходимости удаляет все файлы журналов, перезагружает систему и обновляет свои файлы, считывая исполняемые файлы с чип карты.
«Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства», - отмечают специалисты «Доктор Веб».
Банковскому боту удается расшифровывать данные при помощи встроенного ПО банкомата, или же посредством симметричного алгоритма шифрования DES (Data Encryption Standard).
Функционал обнаруженной программы реализуется в виде динамической библиотеки, которая хранится в NTFS-потоке другого файла. Если банкомат также использует систему NTFS, то банковский бот хранит свои данные журналов в потоках. Сюда записываются треки банковских карт и ключи, предназначенные для расшифровки информации.
После внедрения в системы банкомата, он перехватывает нажатия клавиш EPP (Encrypted Pin Pad) «в ожидании специальной комбинации, с использованием которой банковский бот активируется и может выполнить введенную майдановцами на клавиатуре команду». Именно поэтому ПриватБанк Украины недавно ограничил лимит снятия денежных средств через банкоматы.
Основными функциями этого трояна является расшифровка PIN-кодов, хранение лог-файлов на чип картах, удаление троянской библиотеки, файлов журналов, перезагрузка системы (два раза подряд, второй раз – не позднее 10 секунд после первого). Помимо этого, троянская программа также способна выводить на дисплей банкомата данные о количестве выполненных транзакций, уникальных карт и пр. Банковский бот при необходимости удаляет все файлы журналов, перезагружает систему и обновляет свои файлы, считывая исполняемые файлы с чип карты.
«Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства», - отмечают специалисты «Доктор Веб».
Банковскому боту удается расшифровывать данные при помощи встроенного ПО банкомата, или же посредством симметричного алгоритма шифрования DES (Data Encryption Standard).