Вышла новая версия вредоносного ПО Alina
Новости

Вышла новая версия вредоносного ПО Alina

Работники Trustwave выпустили подробный анализ о новом типе вредоносного ПО – Dubbed Spark. На проверку оказывается, что данная программа является улучшенной версией популярного вируса Alina, разработанного для кражи личных данных и проведения платежей на различных терминалах. Модификация Dubbed Spark специально сделана для терминалов оплаты, поставленных на современных станциях.

Новая версия вируса разработана на упрощённом языке программирования AutoIt, она отличается некоторыми функциями и принципами работы. Обычные сценарии, компилируемые подобным образом, смотрятся весьма просто, но тут хакеры подошли к ситуации особенно. Возможность изменения кода разрешает легко убирать замеченные со стороны антивирусного ПО предупреждения, поэтому защита приложения находится на высоком уровне. Достаточно внести некоторые изменения в сигнатуры файла.

По данным Trustwave, сценарии на AutoIt меняют свободное место, которое выделено в памяти. Потом запускается замена данных в таблицах импорта, на основании чего и появляется способ исполнять код хакера, в фоновом режиме. Потом происходит автоматическое конвертирование в исполнительный файл EXE, для этого используется программа Aut2Exe. Готовый же бинарник проходит через новую модификацию, превращаясь во вредоносный файл.

Как получилось заметить этот вирус? Были совершены рейды по многим платёжным терминалам, находящимися в США. На этих терминалах были замечены массовые происшествия нарушения безопасности и целостности системы. Безопасность многих PoS-систем Америки под угрозой, считают работники Trustwave, потому что Dubbed Spark может быть встроен во многие терминалы.

Если внимательно просмотреть структуру Dubbed Spark, то она похожа на JackPOS. Она тоже может красть пользовательские данные, применяя для запуска сценарный код из AutoIt. Первая версия ПО Alina была замечена в 2012 году. Она делает в реестре специальную ветку, куда размещает код для автозапуска после перезагрузки системы. Поскольку ячейка находится далеко от места, в котором хранятся личные данные пользователя, заметить её антивирусами сложно. При отправке карточных данных используется алгоритм шифрования, что делает отправку на удалённые сервера тайным процессом.

1 2064 Рейтинг 4.206/5 основан на 2064 просмотрах
Комментарии
  • FreeLancer

    Раньше у нашей фирмы много проблем с этой прогой было, несколько раз неизвестные сервера взламывали. И вот опять новая версия...Похоже хакеры на несколько шагов впереди создателей антивирусов и всяких там защит

    Wednesday, 13-01-2021 18:22