Усовершенствованная версия троянской программы для POS-терминалов Trojan.MWZLesson обнаружена исследователями информационной безопасности из «Доктор Веб».
Эксперты провели анализ троянской программы Trojan.Kasidet.1, распространение которой осуществляется с помощью ZIP-архива с файлом, имеющим расширение .SCR. Этот файл является самораспаковывающимся RAR-архивом, который извлекает и запускает вредоносную программу.
Троянская программа проводит проверку на предмет наличия собственной копии, а также виртуальных машин, эмуляторов и отладчиков. Trojan.Kasidet.1 завершает работу, если находит опасную для себя программу. При отсутствии таковой вредоносная программа пытается произвести запуск с правами администратора на зараженном устройстве. На экране появляется предупреждение системы Контроля учетных записей пользователей (UAC). Издатель запускаемого приложения wmic.exe – Microsoft. Таким образом, злоумышленники рассчитывают усыпить бдительность жертвы. Инструмент wmic.exe, в свою очередь, инициирует запуск исполняемого файла Trojan.Kasidet.1.
Программа Trojan.Kasidet.1 осуществляет сканирование оперативной памяти зараженного устройства, поиск в ней данных о банковских картах и их передачу на сервер, находящийся под контролем злоумышленников. Кроме того, троянская программа может похитить пароли для почтовых сервисов Foxmail, Outlook или Thunderbird, а также проникнуть в процессы браузеров Chrome, Firefox, Internet Explorer и Maxthon для того, чтобы перехватывать GET- и POST-запросы. Вредоносная программа, получив соответствующее распоряжение с C&C-сервера, может произвести скачивание и запуск на зараженном устройстве другого приложения или вредоносной библиотеки, отыскать на дисках заданный файл и предоставить его киберпреступникам, а также передать им перечень процессов, активных в данный момент времени.
От Trojan.MWZLesson Trojan.Kasidet.1 отличается тем, что в последней адреса C&C-серверов располагаются в децентрализованной доменной зоне .bit. У обычных браузеров нет доступа к таким веб-ресурсам, но Trojan.Kasidet.1 пользуется собственным алгоритмом получения IP-адресов командных серверов.