В США очередная крупная утечка данных кредитных карт

На этой неделе мы писали ^[1] про нашумевшую историю, связанную с компрометацией крупной американской ритейлерной сети Target. Данные кредитных карт более 50 млн. покупателей и клиентов Target оказались скомпрометированы. Злоумышленники использовали хорошо подготовленную атаку на один из серверов компании и смогли получить доступ во внутреннюю сеть для централизованной установки вредоносного кода на компьютеры, которые обслуживают POS-терминалы. Вредоносный код, который известен как Trojan.POSRAM (iSight) или новая модификация BlackPOS использовался атакующими для получения доступа к данным кредитных карт в момент проведения платежной операции. В СМИ этот вредоносный код упоминался как KAPTOXA, название взято из отчета iSight и информации IntelCrawler. Последняя указала ^[2] на одного из наших соотечественников как на автора вредоносного ПО.

После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила ^[3] о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация ^[4], что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.

Следует отметить, что несколько дней назад ^[5] ФБР разослали приватный отчет американским ритейлерным сетям с предупреждением о готовящихся атаках на POS-терминалы с целью установки вредоносного кода типа BlackPOS.

The U.S. Federal Bureau of Investigation distributed a confidential, three-page report to retail companies last week describing the risks posed by «memory-parsing» malware that infects point-of-sale (POS) systems, which include cash registers and credit-card swiping machines found in store checkout aisles.

Такой вредоносный код ориентирован на проникновение в специальный процесс ОС, в контексте которого осуществляется проведение платежной транзакции, считывание данных магнитной полосы ^[6], обработка PIN-кода и других конфиденциальных данных. Обычно вредоносное ПО с этими возможностями упоминается как memory grabber или memory parser или CC data parser, намекая на то, что он ищет в памяти необходимого процесса определенные шаблоны байт, которые соответствуют информации, снятой терминалом с кредитной карты. Например, в случае с Trojan.POSRAM, вредоносный код собирает эти данные из процесса pos.exe, записывает их в системный файл и по мере необходимости отправляет их на удаленный сервер.

В отчете ФБР упоминается вредоносный инструмент Alina, который может использоваться атакующими для сбора данных из необходимого процесса. Также в нем заложена функция обновления компонентов, что может сделать его более сложным для обнаружения.

Один из семплов Trojan.POSRAM находится на VirusTotal ^[7] и имеет уровень обнаружения 33 / 50.

Автор: esetnod32

Источник ^[8]