«Доктор Веб» предупреждает о появлении новой вредоносной программы, инфицирующей POS-терминалы — аппаратно-программные комплексы, позволяющие осуществлять операции с помощью платёжных карт.
Зловред получил название Trojan.Kasidet.1. Он распространяется в виде ZIP-архива, внутри которого расположен файл с расширением .SCR, представляющий собой самораспаковывающийся SFX-RAR-архив. Этот файл извлекает и запускает саму вредоносную программу.
После активации троян проверяет наличие в инфицированной системе собственной копии, а также пытается обнаружить в своём окружении виртуальные машины, эмуляторы и отладчики. Если Trojan.Kasidet.1 найдёт программу, которую сочтёт для себя опасной, он завершит работу. Если таких программ нет, зловред пытается запуститься с правами администратора.
Троян способен сканировать оперативную память инфицированной системы на наличие в ней треков банковских карт, полученных с помощью POS-устройства, и передавать их на управляющий сервер. Кроме того, зловред может похищать пароли от почтовых программ Outlook, Foxmail или Thunderbird и внедряться в процессы браузеров Mozilla Firefox, Google Chrome, Microsoft Internet Explorer и Maxthon с целью перехвата GET- и POST-запросов.
Вредоносная программа Trojan.Kasidet.1 обладает и рядом других функций. Так, она может по команде злоумышленников загружать на инфицированное устройство сторонние приложения и библиотеки, а также передавать киберпреступникам заданные файлы.
Источник:
