Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Qiwi заразилась

С февраля терминалы Qiwi поражены вирусом, который позволяет красть деньги клиентов

Антивирусная компания «Доктор Веб» сообщает о вирусе, поражающем файлы терминалов мгновенной оплаты Qiwi. Злоумышленники могут перенаправлять клиентские платежи на свой счет или просто создать псевдотерминал на своём компьютере. У преступников могут быть сообщники среди обслуживающего персонала, уверены эксперты.

Специалисты антивирусной компании «Доктор Веб» обнаружили троянскую программу, направленную на похищение денежных средств из терминалов «одной из крупнейших российских платежных систем», сообщила компания.

Вирус Trojan.PWS.OSMP подменяет номер счета, на который осуществляют платежи пользователи терминалов. Деньги попадают напрямую злоумышленникам.

Разработчики антивирусов официально отказываются комментировать, какие именно платежные терминалы подвержены атаке, но в пресс-релизе указывается, что вирус поражает исполняемый файл maratl.exe. Такое название носит исполняемый файл в программном обеспечении для терминалов Qiwi компании ОСМП.

В компании Qiwi «Газете.Ru» сообщили, что знают о появлении данного вируса, но «при анализе было выявлено, что его активность крайне низка». «Никак краж и несанкционированных действий на данный момент нами не обнаружено. Мы обладаем эффективной системой мониторинга, которая при возникновении каких-либо даже самых незначительных угроз оперативно проинформирует нас о них.

Наличие данного вируса мы мониторим с 20 февраля и в эту же дату предоставили агентам инструкции и рекомендации», — заявляет представитель компании Qiwi Александра Высочкина. В настоящее время наличие зараженных терминалов не зафиксировано, сообщают в компании.

Терминалы, зараженные вирусом, работают на операционной системе Windows. «Для установки такой программы нужно, чтобы у злоумышленника был доступ к USB-порту терминала и чтобы работала система автозапуска файлов с флешки», — рассказывает директор департамента аудита компании «Информзащита» Максим Эмм.

Trojan.PWS.OSMP не сразу попадает в систему терминала: первоначально туда через съемные носители, в частности USB Flash Drive, злоумышленниками заносится вредоносная программа BackDoor.Pushnik, рассказал «Газете.Ru» представитель «Доктор Веб» Кирилл Леонов. В дальнейшем с её помощью из интернета подгружается троян. «В отличие от банкоматов терминалы проводят все свои операции через интернет, оттуда и приходит угроза», — поясняет Леонов. Попадая в операционную систему, троян проверяет программное обеспечение, установленное на терминале, и осуществляет поиск процесса maratl.exe. Далее Trojan.PWS.OSMP встраивается в maratl.exe, меняя его «память».

Первая модификация этого трояна появилась в 2009 году, рассказывает Леонов. Подробный функционал работы трояна в «Доктор Веб» стали изучать в начале 2011 года, когда увидели, что активность его расширяется и формируется целая бот-сеть, специально организованная для атак на платежные терминалы. «Мы наблюдаем постоянное усовершенствование бот-сети, поиски все новых способов похищения денежных средств из платежных систем», — добавляет Леонов. Последняя известная модификация Trojan.PWS.OSMP появилась в конце февраля 2011 года. Она действует принципиально по иной схеме.

«Вирус крадет конфигурационный файл, что, предположительно, может помочь злоумышленникам создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник»,

— добавляет Леонов. Всего на сегодняшний день в базах антивируса более 10 модификаций троянов семейства OSMP.

Вредоносное программное обеспечение, созданное для банкоматов или платежных терминалов, представляет высокий уровень опасности, считает Александр Писемский, заместитель генерального директора компании Group-IB, занимающейся расследованием компьютерных преступлений.

Факт попадания вредоносного ПО в операционную систему через подключенный к терминалу внешний USB-накопитель может указывать на то, что у преступников были сообщники среди обслуживающего персонала, так как получить доступ к управлению аппаратом может только авторизованное лицо, у кого есть специальные ключи и навыки отключения системы оповещения,

считает эксперт. «Как показывает практика реагирования на ИТ-инциденты, случаи таких заражений не имеют массового характера, т. к. круг подозреваемых весьма ограничен и компетентным органам достаточно просто выявить нарушителей. Компьютерные криминалисты могут с точностью до минут определить, когда терминал был заражен. Далее достаточно просто установить, кто в этот момент обслуживал аппарат и имел к нему доступ», — добавляет Писемский.

Впрочем, большинство таких терминалов устанавливаются через субподрядчиков, говорит Эмм, так что владелец может даже не знать о проблемах в каком-то регионе. По мнению эксперта, скорее всего, злоумышленник просто купил б/у аппарат с установленным софтом. Разобрал, понял, как устроен замок, какая система там используется. Заказал троян специально под эту систему и установил его на ряд терминалов.

«Сейчас необходимо проследить, куда уходили деньги с помощью этой программы, и вычислить их получателя», — убеждён Эмм. Но заявить о пропаже денег должны сами владельцы терминалов.

Новости и материалы
Врач рассказала, кому нельзя есть бананы
В Госдуме предупредили Трампа, что с Россией не нужно говорить языком силы
Збруев назвал причину своей госпитализации
В Самарской области предупредили об опасности атаки беспилотников
США направят на границу с Мексикой еще 1,5 тысячи военных и вертолеты
Россиянам рассказали, как разморозить накопительную часть пенсии
CNN планирует провести значительные сокращения персонала
Лавина накрыла автомобили на трассе Бишкек — Ош в Киргизии
Ученые зафиксировали в космосе странные звуки, похожие на птичий щебет
Трамп заявил, что обсуждал с Байденом помилование себя и сторонников
Вучич допустил, что Украина вступит в Евросоюз быстрее Сербии
Ученые предложили способ ускорения космических путешествий почти в 2000 раз
Суд в США указал на разницу между слонами и людьми
Сыгравшая свадьбу в окопе снайпер ВСУ убежала в Австрию
Названы главные ошибки худеющих
Противники Трампа заявили, что опасаются лишиться пенсии
Суд не отменил аннулирование патента российского изобретателя, судившегося с Apple
На Западе заявили о прогрессирующем «идиотизме» НАТО
Все новости