Группировка киберпреступников, известная как FIN6, начала новую кампанию, нацеленную на платежные терминалы в торговых точках США и Европы. Об этом 5 сентября сообщили исследователи IBM X-Force IRIS (Incident Response and Intelligence Services).

Преступники из FIN6 специализируются на краже данных платежных карт и их последующей продаже в даркнете. Банда действует с 2015года и в основном атакует представителей гостиничного бизнеса и розничной торговли.

Используемые злоумышленниками технические приемы и методы кражи информации первыми описали эксперты из FireEye в 2016 году. Тогда банде удалось украсть реквизиты более 10 млн банковских карт. На подпольных форумах мошенники продавали данные каждой карты отдельно в среднем по $21 за штуку.

Потенциальная прибыль преступников могла составить несколько миллионов долларов. Именно характерный для мошенников стиль действий позволил специалистам IBM выйти на след группировки и выявить новые приемы в ее почерке.

Прежде злоумышленники проникали в систему с помощью бэкдора Grabnew, однако в новой компании начали использовать легитимную утилиту Windows Management Instrumentation Command-line (WMIC). Инструмент позволяет мошенникам автоматически выполнять удаленный код в PowerShell в обход списка разрешенных приложений. Кроме того, на нескольких этапах вторжения преступники применяют технику платформы для обнаружения несанкционированного проникновения Metasploit.

После компрометации оболочки злоумышленники загружают через нее в память платежных терминалов вредоносное ПО FrameworkPOS (также известное как Trinity), которое обнаруживает PoS-устройства и извлекает из их памяти нужную информацию. Затем полученные сведения отправляются на C&C-сервер через протокол удаленного рабочего стола (RDP) и SSH.

Пока неизвестно, сколько торговых точек стали жертвами последней кампании. Старший аналитик IBM X Force Шон Кавано (Sean Cavanaugh) рассказал, что если бы оболочка командной строки была настроена только на выполнение скриптов с цифровой подписью, атакующим было бы сложнее собирать данные.

Использование в своих целях легитимных инструментов системы — обычная практика для киберпреступников. Недавно ИБ-эксперты Symantec обнаружили многоступенчатую кампанию, в ходе которой злоумышленники также применяли WMIC для установки бэкдора и доставки шпионских троянов, майнеров, а также других вредоносных программ.

Категории: Вредоносные программы, Мошенничество, Хакеры