Мир: Новая версия Skimer незаметно считывает данные платежных карт в банкоматах

0

Исследователи из “Лаборатории Касперского” столкнулись с улучшенной модификацией Skimer. В настоящее время обнаружено 49 разновидностей этого вредоносного ПО, 37 из них работают с банкоматами одного и того же производителя. Последнюю из существующих версий эксперты обнаружили в мае 2016 г. Продукты “Лаборатории Касперского” детектируют вредоносы как Backdoor.Win32.Skimer. Первая разновидность вредоносного ПО для банкоматов была обнаружена экспертами “Лаборатории Касперского” в 2009 г.

Skimer позволяет злоумышленникам не только получить из банкомата денежные средства, но и распечатать собранную информацию о банковских картах (номера счетов и PIN-коды), а также выполнить обновление или самоудаление вредоноса. Копирование информации с карт происходит незаметно, без внешних повреждений банкомата. Заражение долго остается незамеченным, и вредонос способен накопить большое количество данных платежных карт.

Злоумышленники маскируют Skimer с помощью легального упаковщика Themida. После загрузки в систему банкомата вредонос совершает проверку файловой системы. При установленной в банкомате системе FAT32 вредоносный файл netmgr.dll помещается в папку C:\Windows\System32. Если же используется NTFS, вредоносное ПО помещает файл в поток NTFS. После завершения установки Skimer добавляет вызов (Load Library) уже установленного файла netmgr.dll. Load Library позволяет вредоносной программе загрузить свою библиотеку в систему банкомата. Таким образом Skimer получает полный доступ к XFS.

Skimer активизируется, когда преступник вставит в банкомат специальную карту с внедренным в магнитную полосу кодом. Злоумышленники используют два разных типа карт. В случае использования карты первого типа вредонос запрашивает команды через интерфейс банкомата. В магнитной дорожке карты второго типа заведомо закодирована выполняемая вредоносом команда.

Исследователи из “Лаборатории Касперского” советуют проведение систематической антивирусной проверки и полное шифрование дисков. Избежать заражения банкомата вредоносом можно с помощью введения паролей для входа в систему BIOS, а также разрешения загрузки только с жесткого диска. (Касперский/NovostIT)