Le 15 septembre 2015

Les terminaux POS restent une cible intéressante pour les malfaiteurs, car ils sont largement utilisés partout dans le monde afin d'effectuer des paiements par cartes bancaires. Les spécialistes de Doctor Web ont examiné un Trojan qui peut infecter les terminaux de paiement. Ce malware est une modification d'un Trojan bien connu de nos chercheurs.

Ajouté à la base virale Dr.Web sous le nom Trojan.MWZLesson, il s'enregistre dans la branche du registre système responsable du lancement automatique des applications après son propre lancement. Son architecture inclut un module qui scanne la mémoire vive de l'appareil infecté pour trouver des traces de cartes bancaires. Les malfaiteurs ont emprunté ce code au logiciel malveillant connu sous le nom Trojan.PWS.Dexter. Les traces détectées et d'autres données interceptées sont envoyées au serveur de gestion.

Trojan.MWZLesson est capable d'intercepter des requêtes GET et POST dans les navigateurs Mozilla Firefox, Google Chrome ou Microsoft Internet Explorer, ces requêtes sont également envoyées au serveur appartenant aux pirates. De plus, ce logiciel peut exécuter les commandes suivantes :

• CMD – envoie la commande reçue à l'interpréteur de commandes CMD ;
• LOADER - télécharge et lance les fichiers suivants : dll à l'aide de l'utilitaire regsrv, vbs en utilisant l'utilitaire wscript, exe qui est simplement lancé ;
• UPDATE – commande de mise à jour ;
• rate – définit l'intervalle des séances de connexion aux serveurs de gestion ;
• FIND - recherche de fichier par le masque ;
• DDOS – lancer une attaque DDoS de type http-flood.

Le Trojan se connecte au serveur de gestion via HTTP. Les paquets de données envoyés au serveur ne sont pas cryptés, mais si un paramètre spécifique de cookie est manquant dans un paquet, le serveur l’ignore.

Lors de l'analyse de l'architecture interne du Trojan.MWZLesson les chercheurs de Doctor Web ont conclu que ce malware serait en fait une version « estropiée » d’un autre logiciel malveillant nommé BackDoor.Neutrino.50, dont le code a été utilisé en partie pour créer cette modification.

BackDoor.Neutrino.50 est un backdoor multifonctions qui exploite la vulnérabilité CVE-2012-0158. Les spécialistes ont détecté des cas de téléchargement de ce malware depuis des sites piratés. Lors de son lancement, BackDoor.Neutrino.50 recherche la présence d’une machine virtuelle et s’il en détecte une affiche le message " An unknown error occurred. Error - (0x[chiffre aléatoire])", puis ils’auto- supprime.

En plus de sa capacité à opérer sur des terminaux de paiement, ce backdoor peut également voler des données du client de messagerie Microsoft et des données d'authentification pour accéder aux ressources de clients ftp populaires via le protocole FTP. BackDoor.Neutrino.50 peut effectuer plus de commandes que le Trojan.MWZLesson notamment : lancer plusieurs types d'attaques DDoS, supprimer d’autres logiciels malveillants fonctionnant sur l'ordinateur, ainsi qu’infecter des ordinateurs disponibles via le LAN.

Ces malwares sont répertoriés dans la base de données virales Dr.Web et ne représentent pas de danger pour les utilisateurs de nos produits antivirus.