16 settembre 2015

Per molti anni i terminali POS restano un bersaglio preferito degli hacker in quanto sono impiegati da molteplici centri commerciali in tutto il mondo per le transazioni con carte di pagamento. Gli specialisti Doctor Web hanno analizzato un nuovo trojan capace di infettare terminali di pagamento che infatti risulta essere una variante di un altro programma malevolo già conosciuto bene dai nostri analisti dei virus.

Il trojan di POS, aggiunto ai database dei virus Dr.Web sotto il nome del Trojan.MWZLesson, si trascrive dopo l'avvio nel ramo del registro di sistema responsabile per l'esecuzione automatica di applicazioni. Nell'architettura del programma è previsto un modulo che scansiona la memoria operativa del dispositivo infetto cercando tracce di carte di credito. Questo codice è stato preso dagli autori da un altro programma malevolo studiato per compromettere terminali POS che conosciamo sotto il nome del Trojan.PWS.Dexter. Il trojan trasmette su un server di controllo le tracce di carte di credito e le altre informazioni individuate.

Il Trojan.MWZLesson è capace di intercettare richieste GET e POST che vengono inviate dai browser Mozilla Firefox, Google Chrome o Microsoft Internet Explorer installati sulla macchina infetta – il trojan inoltra queste richieste sul server dei malintenzionati. Inoltre, questo programma malevolo può eseguire i seguenti comandi:

• CMD – trasmette le istruzioni ricevute all'interprete dei comandi CMD;
• LOADER - scarica ed esegue un file (dll – con utilizzo dell'utility regsrv, vbs – con utilizzo dell'utility wscript, exe — lo avvia direttamente);
• UPDATE – il comando di aggiornamento;
• rate – imposta un intervallo di tempo per le sessioni della comunicazione con il server di comando;
• FIND - ricerca di documenti secondo una maschera;
• DDOS – per iniziare un attacco DDoS con il metodo http-flood.

Per scambiare dati con il server di comando, il Trojan.MWZLesson utilizza il protocollo HTTP, e i pacchetti che il trojan manda sul server remoto non vengono criptati però il programma malevolo utilizza nei pacchetti un specifico parametro di cookie e se tale parametro è assente, il server ignora le richieste arrivate dal trojan.

Studiando l'architettura interna del Trojan.MWZLesson, gli analisti dei virus di Doctor Web hanno capito che già conoscono bene questo trojan in quanto una parte del suo codice prima era inclusa in un altro programma malevolo, precedentemente analizzato. Questo programma si chiamava il BackDoor.Neutrino.50, e il nuovo Trojan.MWZLesson è infatti una sua variante ridotta.

Il BackDoor.Neutrino.50 è un backdoor multifunzionale che per diffondersi impiega gli exploit per la vulnerabilità CVE-2012-0158. Sono noti diversi casi di scaricamento automatico di questo programma malevolo da siti hackerati. Ad avvio, il BackDoor.Neutrino.50 controlla se ci sono macchine virtuali nel suo ambiente e se ne scopre qualcuna, visualizza un avviso di errore "An unknown error occurred. Error - (0x[numero casuale])", dopodiché il BackDoor.Neutrino.50 elimina sé stesso dal sistema.

Oltre alle funzioni di un trojan per i terminali POS, questo backdoor può rubare informazioni dal mail client Microsoft e anche le credenziali per l'accesso a risorse tramite il protocollo FTP mediante una serie dei popolari client ftp. Oltre alle istruzioni eseguibili dal Trojan.MWZLesson, il BackDoor.Neutrino.50 può eseguire anche altri comandi, in particolare può attuare diversi tipi di attacchi DDoS, eliminare alcuni altri programmi malevoli che sono in esecuzione sulla macchina infetta e anche potrebbe provare a infettare computer disponibili nella rete locale.

Le firme antivirali dei trojan sono state aggiunte ai database dei virus Dr.Web, dunque questi programmi malevoli non rappresentano pericolo per gli utenti dei nostri prodotti antivirus.