Специалисты компании Flashpoint опубликовали отчет с анализом работы зловреда DMSniff, который используется в атаках на POS-терминалы по меньшей мере с 2016 года. Программа похищает сведения о банковских картах, обрабатываемых точкой продаж, и применяет алгоритм автоматической генерации доменов (DGA), чтобы избежать блокировки C&C-серверов. По информации экспертов, целью злоумышленников в первую очередь являются компании в сегментах малого и среднего бизнеса.

Исследователи считают, что вредоносный скрипт проникает на POS-терминал при помощи брутфорс-атаки или через эксплуатацию уязвимостей в системном ПО. Попав на устройство, DMSniff запускает алгоритм создания псевдослучайных доменных имен, чтобы скрыть канал обмена данных с командным сервером. В случае блокировки одного из адресов зловред автоматически генерирует новый и продолжает работу с центром управления. Дополнительно программа перебирает несколько доменов верхнего уровня, чтобы найти доступный в данный момент хост.

Закрепившись на POS-терминале, зловред проводит мониторинг активных процессов в поиске задач, связанных с обработкой банковских карт. Обнаружив нужные сведения, DMSniff передает их в центр управления вместе с содержимым соседних ячеек памяти. Программа кодирует пакеты данных, чтобы затруднить обнаружение вредоносной активности.

За последние четыре года специалисты зафиксировали 11 вариантов DMSniff в кампаниях, направленных на рестораны, кинотеатры и другие организации из сферы развлечений.

Использование DGA несвойственно PoS-зловредам, его обычно применяют многофункциональные боты для маскировки своих C&C-серверов. Одним из первых вредоносных штаммов с алгоритмом генерации доменов считается червь Conficker, чей пик активности пришелся на 2008 год. Несмотря на то что распространение зловреда удалось взять под контроль, сведения о его атаках поступали вплоть до 2016-го.

Чаще всего генерацию псевдослучайных доменов применяют DDoS-ботнеты. Пару лет назад китайские ИБ-специалисты зафиксировали активность зомби-сети Mirai, которая использовала DGA в качестве резервного способа связи с командным сервером. Алгоритм создавал новый адрес хоста один раз в сутки и связывался по нему с центром управления, если другие варианты были недоступны.

Категории: Аналитика, Вредоносные программы