Появилась новая версия вредоносного ПО Alina

027 Сотрудники компании Trustwave опубликовали детальный отчёт о новом типе вредоносного ПО – Dubbed Spark. На проверку оказывается, что данная программа является модифицированным вариантом известного софта Alina, созданном для воровства конфиденциальной информации и проведения платежей на различных терминалах. Модификация Dubbed Spark специально разрабатывалась для терминалов оплаты, устанавливаемых на современных станциях техобслуживания автомобилей.

Поскольку новая версия софта создана на упрощённом языке программирования AutoIt, она отличается некоторыми характеристиками и принципами действия. Стандартные сценарии, компилируемые подобным образом, выглядят весьма примитивно, но здесь злоумышленники подошли к ситуации творчески. Возможность изменения кода позволяет легко убирать обнаружение со стороны антивирусного ПО, поэтому защита программы находится на высоком уровне. Достаточно внести некоторые изменения в сигнатуры файла.

По информации Trustwave, сценарии на AutoIt изменяют свободное пространство, которое выделяется в памяти, освобождая тем самым дополнительное место. Затем происходит замещение информации в таблицах импорта, на основании чего и появляется возможность исполнять код злоумышленника, в фоновом для всей системы режиме. Затем происходит автоматическое преобразование в исполняемый файл EXE, для этого применяется утилита Aut2Exe. Готовый же бинарник проходит через новую модификацию, превращаясь во вредоносный файл.

Как удалось обнаружить такой вирус? Были проведены рейды по многочисленным платёжным терминалам, расположенным на территории США. На этих терминалах были выявлены массовые случаи нарушения безопасности и целостности системы. Безопасность большинства PoS-систем Америки под угрозой, считают специалисты Trustwave, поскольку Dubbed Spark может быть внедрён во многие терминалы уже к текущему моменту.

Если внимательнее изучить структуру Dubbed Spark, то на лицо сходства с известной программой JackPOS. Она тоже способна воровать пользовательскую информацию, используя для запуска сценарный код из AutoIt. Первая версия ПО Alina была обнаружена в 2012 году. Оно создаёт в реестре отдельную ветку, куда помещает код для автозапуска после перезагрузки системы. Поскольку ячейка располагается далеко от места, в котором хранятся личные данные пользователя, выявить её антивирусами тяжело. При перехвате карточных данных применяются развитые алгоритмы шифрования, что делает отсылку на удалённые сервера незаметным процессом.