Le 4 mars 2014

Les spécialistes de Doctor Web ont découvert un nouveau malware, le Trojan.Skimer.19, capable d'infecter les distributeurs d'un fabricant étranger largement utilisés par les banques russes et ukrainiennes. C'est le troisième type de DAB ciblés par la famille Trojan.Skimer.

Le logiciel malveillant représente une bibliothèque dynamique, qui se masque dans le flux NTFS d’un autre fichier malveillant, détecté par l'antivirus Dr.Web sous le nom Trojan.Starter.2971. Si le système infecté utilise le système de fichiers NTFS, le Trojan.Skimer.19sauvegarde ses logs dans le flux. Ces logs contiennent les traces de cartes bancaires et les clés utilisées pour le décryptage de l'information.

Après avoir infecté le système d'exploitation, le Trojan.Skimer.19 intercepte les saisies sur le PIN Pad en attendant les combinaisons qui permettront de l’activer puis d’exécuter les commandes des malfaiteurs. Parmi les commandes exécutées, notons :

• sauvegarder les logs sur les cartes à puce, décrypter les codes PIN ;
• supprimer la bibliothèque du Trojan, les logs, « désinfecter » le fichier-porteur, redémarrer le système (toutes les 10 secondes) ;
• afficher des statistiques sur l'écran: le nombre de transactions, cartes et clés interceptées ;

  

• supprimer tous les logs ;
• redémarrer le système ;
• mettre à jour le Trojan depuis la puce de la carte.

Les dernières versions du Trojan.Skimer.19 peuvent être activées non seulement à l'aide du code saisi sur le clavier, mais également comme leurs prédécesseurs à l'aide de cartes spéciales.

Pour décrypter les données, le Trojan.Skimer.19 utilise soit les logiciels intégrés du DAB, soit son propre algorithme de cryptage DES (Data Encryption Standard), en utilisant les clés interceptées et sauvegardées dans les logs.

Les spécialistes de Doctor Web ont découvert plusieurs variantes de bibliothèques malveillantes qui comprennent des fonctionnalités différentes. Les logiciels antivirus Dr.Web sont capables de détecter et d'éradiquer toutes ces bibliothèques.