На этой неделе мы писали про нашумевшую историю, связанную с компрометацией крупной американской ритейлерной сети Target. Данные кредитных карт более 50 млн. покупателей и клиентов Target оказались скомпрометированы. Злоумышленники использовали хорошо подготовленную атаку на один из серверов компании и смогли получить доступ во внутреннюю сеть для централизованной установки вредоносного кода на компьютеры, которые обслуживают POS-терминалы. Вредоносный код, который известен как Trojan.POSRAM (iSight) или новая модификация BlackPOS использовался атакующими для получения доступа к данным кредитных карт в момент проведения платежной операции. В СМИ этот вредоносный код упоминался как KAPTOXA, название взято из отчета iSight и информации IntelCrawler. Последняя указала на одного из наших соотечественников как на автора вредоносного ПО.
После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.
Следует отметить, что несколько дней назад ФБР разослали приватный отчет американским ритейлерным сетям с предупреждением о готовящихся атаках на POS-терминалы с целью установки вредоносного кода типа BlackPOS.
Такой вредоносный код ориентирован на проникновение в специальный процесс ОС, в контексте которого осуществляется проведение платежной транзакции, считывание данных магнитной полосы, обработка PIN-кода и других конфиденциальных данных. Обычно вредоносное ПО с этими возможностями упоминается как memory grabber или memory parser или CC data parser, намекая на то, что он ищет в памяти необходимого процесса определенные шаблоны байт, которые соответствуют информации, снятой терминалом с кредитной карты. Например, в случае с Trojan.POSRAM, вредоносный код собирает эти данные из процесса pos.exe, записывает их в системный файл и по мере необходимости отправляет их на удаленный сервер.
В отчете ФБР упоминается вредоносный инструмент Alina, который может использоваться атакующими для сбора данных из необходимого процесса. Также в нем заложена функция обновления компонентов, что может сделать его более сложным для обнаружения.
Один из семплов Trojan.POSRAM находится на VirusTotal и имеет уровень обнаружения 33 / 50.
После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.
Следует отметить, что несколько дней назад ФБР разослали приватный отчет американским ритейлерным сетям с предупреждением о готовящихся атаках на POS-терминалы с целью установки вредоносного кода типа BlackPOS.
The U.S. Federal Bureau of Investigation distributed a confidential, three-page report to retail companies last week describing the risks posed by «memory-parsing» malware that infects point-of-sale (POS) systems, which include cash registers and credit-card swiping machines found in store checkout aisles.
Такой вредоносный код ориентирован на проникновение в специальный процесс ОС, в контексте которого осуществляется проведение платежной транзакции, считывание данных магнитной полосы, обработка PIN-кода и других конфиденциальных данных. Обычно вредоносное ПО с этими возможностями упоминается как memory grabber или memory parser или CC data parser, намекая на то, что он ищет в памяти необходимого процесса определенные шаблоны байт, которые соответствуют информации, снятой терминалом с кредитной карты. Например, в случае с Trojan.POSRAM, вредоносный код собирает эти данные из процесса pos.exe, записывает их в системный файл и по мере необходимости отправляет их на удаленный сервер.
В отчете ФБР упоминается вредоносный инструмент Alina, который может использоваться атакующими для сбора данных из необходимого процесса. Также в нем заложена функция обновления компонентов, что может сделать его более сложным для обнаружения.
Один из семплов Trojan.POSRAM находится на VirusTotal и имеет уровень обнаружения 33 / 50.