Троян MWZLesson заражает платёжные терминалы
«Доктор Веб» предупреждает о распространении вредоносной программы MWZLesson, способной инфицировать платёжные терминалы (POS-аппараты).
MWZLesson представляет собой трояна, часть кода которого раньше встречалась в составе другого зловреда — бэкдора Neutrino.50. Данная вредоносная программа обладает возможностью красть информацию из почтового клиента Microsoft, а также учётные данные для доступа к ресурсам по протоколу FTP с использованием ряда популярных ftp-клиентов.
После запуска MWZLesson регистрирует себя в ветви системного реестра, отвечающей за автозагрузку приложений. В архитектуре программы предусмотрен модуль, сканирующий оперативную память инфицированного устройства на наличие в ней треков банковских карт. Обнаруженные треки и другие перехваченные данные троян передаёт на управляющий сервер.
Зловред умеет перехватывать GET- и POST-запросы, отправляемые с зараженной машины браузерами Mozilla Firefox, Google Chrome или Microsoft Internet Explorer. Кроме того, троян способен осуществлять поиск документов по маске, проводить DDoS-атаки методом http-flood, загружать и запускать на выполнение различные файлы.
Обмен данными с управляющим центром MWZLesson осуществляет по протоколу HTTP, при этом пакеты, которые троян отсылает на удалённый сервер, не шифруются, однако вредоносная программа использует в них специальный параметр cookie, при отсутствии которого командный сервер игнорирует поступающие от трояна запросы.