Кибергруппировка FIN8 обновила свой тулкит для атак на PoS-терминалы, добавив в него новые функции. По сообщению ИБ-специалистов, в ходе исследования вредоносной активности злоумышленников они обнаружили ранее неизвестный штамм бэкдора PowerSniff, он же PunchBuggy. Обновленный зловред, получивший название Badhatch, как и прежде, нацелен на взлом кассовых точек и похищение данных банковских карт во время проведения финансовых транзакций.

Как утверждают аналитики, Badhatch попадает на целевое устройство через документ Word с вредоносным макросом. При его открытии на машину последовательно загружаются PowerShell-скрипты с шелл-кодом. Стартовый сценарий внедряет свой код в существующий процесс PowerShell, после чего загружает в эту же область памяти динамическую библиотеку, предназначенную для взаимодействия с командным сервером. Далее зловред открывает защищенный TCP-канал с центром управления, IP-адрес которого жестко зашит в его коде, и доставляет на устройство дополнительные модули.

Обновленный плагин для кражи данных банковских карт

Один из загружаемых компонентов, получивший название PoSlurp.B, предназначен для перехвата 15- или 16-значных номеров банковских карт. Модуль не осуществляет проверку корректности скопированных данных по алгоритму Luhn, а пересылает необработанный массив злоумышленникам. В отличие от ранее изученных образцов, этот вариант скрапера представляет собой PowerShell-скрипт, ориентированный на 64-разрядную архитектуру. Программа не использует низкоуровневые функции API, а напрямую обращается к командам операционной системы для размещения своих компонентов в памяти.

Несмотря на то что Badhatch использует ряд новых методов, позволяющих ему эффективно внедряться в память целевого PoS-терминала, новая версия тулкита не содержит встроенных средств обнаружения песочницы. Благодаря этому специалисты смогли получить в свое распоряжение работающий образец зловреда и исследовать его методом реверс-инжиниринга. Аналитики предполагают, что инструмент предназначен для установки на уже скомпрометированное устройство, не содержащее ловушек ИБ-экспертов.

Первые упоминания о деятельности группировки FIN8 датируются 2016 годом, однако последние пару лет команда не была замечена в атаках на торговые точки. Ранее киберпреступники также распространяли PowerSniff через спам-рассылки, содержащие вредоносный документ Word.

Категории: Аналитика, Вредоносные программы, Главное