02.04.2013, 14:41
Количество просмотров 150

Group-IB обнаружила сеть зараженных POS-терминалов

Group-IB обнаружила сеть зараженных POS-терминалов, используемых для хищения данных кредитных карт крупнейших банков США.
Group-IB обнаружила сеть зараженных POS-терминалов

Специалисты Group-IB и CERT-GIB обнаружили новую модификацию вредоносного кода «DUMP MEMORY GRABBER». Проведенное исследование показало, что новое вредоносное ПО все чаще нацелено на физических пользователей, похищая их конфиденциальные данные, номера счетов и банковских карт. 

Вредоносное ПО направлено на заражение компьютеров с подключенными к ним POS-терминалами, распространенными в сетях розничной торговли, ресторанах, магазинах. 
Стоит отметить, что ранее исследователь McAfee, Chintan Shah сообщил банковскому сообществу о возникновении вредоносного кода «vSkimmer», имеющего схожие функциональные особенности с обнаруженным ПО. А в конце 2012 года израильская компания Seculert обнаружила вредоносный код "Dexter", имеющий схожую систему выборки информации из памяти компьютера. 
Новое ПО написано на языке C++ и корректно функционирует на всех версиях Microsoft Windows, включая 64-битные редакции. Для сканирования памяти использует mmon.exe. 
Путем использования возможностей Group-IB Bot-Trek удалось осуществить выявление всех зараженных компьютеров и локализовать масштабы ботнет-сети, включая используемый командный центр. 
Перехваченные данные, содержащие треки кредитных карт, отправлялись по FTP-протоколу на командный центр ботнета злоумышленников для последующей записи на «белый пластик» для обналичивания денег. 
«Следует отметить, что заражение узлов, имеющих подключенный POS-терминал, является новым трендом киберпреступного мира. Весомая доля данных угроз реализуется удаленно, путем эксплуатации уязвимостей в отношении механизмов удаленного администрирования, но стоит отметить и присутствие инсайдеров, осуществляющих данную преступную деятельность с использованием своего служебного полномочия в части работы или обслуживания POS-терминалов», - отметил Андрей Комаров, директор департамента международных проектов, аудита и консалтинга компании Group-IB, CERT-GIB CTO. 
Специалистам компании Group-IB удалось обнаружить командный центр ботнета, установить автора вредоносного кода и извлечь список скомпрометированных карт для предотвращения последующего мошенничества, что является уникальным случаем в раскрытии киберпреступления и обнаружения всей преступной цепочки. 
Были обнаружены скомпрометированные данные ведущих банков США - Chase, Capital One, Citibank, Union Bank of California, Nordstrom FSB и многих других. Данная информация была передана представителям Visa, пострадавшим банкам и правоохранительным органам США для последующего расследования. 
В настоящий момент переданные скомпрометированные кредитные карты отозваны, в отношении зараженных POS-терминалов ведется расследование инцидента. «Возможности Bot-Trek позволяют систематически накапливать информацию о ботнет-сетях, в том числе в состав которых входят зараженные POS-терминалы, использовать ее в целях борьбы с карточным мошенничеством путем поставки данных о скомпрометированных кредитных картах банку. 
Отдельный весомый блок занимают сведения о скомпрометированных учетных записях Интернет-банкинга», - говорит Никита Кислицин, руководитель направления Group-IB Bot-Trek. 
Экспертам Group-IB удалось установить местонахождение преступников. По всей видимости, данная группировка, ответственная также за крупные, заказные DDos-атаки, разбросана по России, Украине и Армении. 
По материалам Group-IB

Рубрика:
{}Безопасность
Теги:
#
PLUSworld в соцсетях:
telegram
vk
youtube

ТАКЖЕ ПО ТЕМЕ