Pojawiła się nowa wersja złośliwego oprogramowania Alina

Pracownicy Trustwave opublikowali szczegółowy raport na temat nowego typu złośliwego oprogramowania-Dubbed Spark. Na sprawdzenie okazuje się, że ten program jest zmodyfikowaną wersją znanego oprogramowania Alina, stworzonego do kradzieży poufnych informacji i dokonywania płatności na różnych terminalach. Modyfikacja Dubbed Spark została opracowana specjalnie dla terminali płatniczych instalowanych w nowoczesnych stacjach obsługi pojazdów.

Ponieważ nowa wersja oprogramowania jest tworzona w uproszczonym języku programowania AutoIt, różni się pewnymi cechami i zasadami działania. Standardowe Skrypty skompilowane w ten sposób wyglądają bardzo prymitywnie, ale tutaj intruzi podchodzili do sytuacji twórczo. Możliwość zmiany kodu ułatwia usunięcie wykrywania z oprogramowania antywirusowego, więc ochrona programu jest na wysokim poziomie. Wystarczy wprowadzić pewne zmiany w sygnaturze pliku.

Według Trustwave, Skrypty na AutoIt zmieniają wolną przestrzeń, która jest przydzielana w pamięci, uwalniając w ten sposób dodatkowe miejsce. Następnie informacje są zastępowane w tabelach importu, na podstawie których możliwe jest wykonanie kodu atakującego, w tle dla całego systemu. Następnie następuje automatyczna konwersja do pliku wykonywalnego EXE, do tego służy narzędzie Aut2Exe. Gotowy plik binarny przechodzi przez nową modyfikację, zamieniając się w złośliwy plik.

Jak udało się wykryć takiego wirusa? Przeprowadzono naloty na liczne Terminale Płatnicze zlokalizowane na terenie USA. Na tych terminalach ujawniono masowe przypadki naruszenia bezpieczeństwa i integralności systemu. Bezpieczeństwo większości amerykańskich systemów PoS jest zagrożone, uważają specjaliści Trustwave, ponieważ Dubbed Spark może zostać wprowadzony do wielu terminali już do tej pory.

Jeśli przyjrzysz się bliżej strukturze Dubbed Spark, to na twarzy podobieństwa do znanego programu JackPOS. Jest również w stanie ukraść informacje użytkownika za pomocą kodu skryptu z AutoIt do uruchomienia. Pierwsza wersja oprogramowania Alina została odkryta w 2012 roku. Tworzy w rejestrze osobną gałąź, w której umieszcza kod do autoodtwarzania po ponownym uruchomieniu systemu. Ponieważ komórka znajduje się daleko od miejsca, w którym przechowywane są dane osobowe użytkownika, trudno jest ją zidentyfikować za pomocą programów antywirusowych. Podczas przechwytywania danych kartowych stosuje się zaawansowane algorytmy szyfrowania, co sprawia, że wysyłanie do zdalnych serwerów jest niepozornym procesem.