ModPOS: наиболее изощренное на сегодняшний день вредоносное ПО для ТСП

Отдельные модули этого вируса обычно упакованы в виде драйверов ядра, что сильно затрудняет их обнаружение. Пока специалистам удалось выявить три таких модуля: загрузчик новых компонентов, кейлоггер и модуль копирования терминалов. Отдельной антивирусной программе удалось обнаружить лишь загрузчик новых компонентов (Straxbot). Также ModPOS создает несколько дополнительных модулей, предназначенных для сбора информации о целевой системе, доменах, компьютерах и ресурсах сети, доступных для инфицированной системы, а также сведения об именах пользователей и паролях локальных и доменных учетных записей. Вся эта информация отправляется злоумышленникам. «С точки зрения кодировки, эти образцы гораздо сложнее обычных вредоносных программ; здесь использовано кодирование на профессиональном уровне, а размеры, внедренная операционная безопасность и общие характеристики кода свидетельствуют о том, что на их создание и отладку ушло значительное количество времени и ресурсов, а также потребовалось углубленное изучение способов нейтрализации системы безопасности и инструментов защиты от взлома, – отмечают аналитики. – Драйверы вводят вредоносный код в целый ряд процессов, включая системные, winlogon.exe, firefox.exe и credit.exe. Процесс credit.exe примечателен тем, что он непосредственно связан с похищением данных отслеживания кредитных карт из оперативной памяти системы терминала. Это уникальный исполняемый модуль, который используется поставщиками платежных терминалов как часть программного обеспечения», – поясняют специалисты.

«Мы уверены, что злоумышленники подстраивают вредоносное ПО под конкретную рабочую среду. Эти программы способны регистрировать нажатия клавиш, выгружать похищенную информацию и загружать другие вредоносные компоненты. Они используют шифрование AES-256-CBC для хранения и передачи данных, и шифровальный ключ генерируется индивидуально для каждой атакуемой системы». Аналитики считают, что авторы трояна имеют связи с Восточной Европой. «Уровень сложности ModPOS и большинства вирусных программ для терминалов стал выше. В сентябре и октябре 2015 года на хакерских форумах активно обсуждались вопросы обмена информацией о существующем коде терминалов в ТСП, а также помощь в добавлении функций и тестировании полученных результатов. Хакерское сообщество очень активно делилось информацией, проводило тесты, дорабатывало коды и проводило повторные тесты, начиная с лета все готовились к сезону праздничного шоппинга, – отмечает Пол Флетчер, ведущий специалист по кибербезопасности компании Alert Logic. – На мой взгляд, факт возросшей сложности вредоносных программ для ТСП особенно интересен тем, что злоумышленниками использовались шифрование и концепции «антикриминалистики» (также известной как умышленное запутывание кода или антианалитика)».

«Использование шифрования хакерами заставило себя долго ждать, и мне кажется это интересным, поскольку лучшая практика профессионалов в области безопасности – это использовать шифрование, где только возможно. Пока некоторые организации не спешили внедрять шифрование, хакерское сообщество ухватилось за эту концепцию и получило преимущество. Этот факт показывает, что одни и те же инструменты и технологии могут использоваться как злоумышленниками, так и специалистами по безопасности, и одних технологических решений бывает недостаточно, важнее всего люди и процессы, выстроенные вокруг этих решений, – подчеркивает специалист. – Наличие в сложном вредоносном ПО компонента, противодействующего криминалистической экспертизе, является доказательством того, что хакерское сообщество провело масштабную разведку в области многочисленных систем, функционирующих в точках продаж, а также систем обеспечения (серверной части) инфраструктуры розничных операторов».

По материалам Infosecurity Magazine, PLUSworld.ru