Неназванная группировка хакеров решила обратить внимание на малые и средние предприятия: преступники заражают PoS-зловредом терминалы, похищая с его помощью данные кредитных карт.

Признаки деятельности данной группировки стали заметны в сентябре; обнаружившая атаку компания Trend Micro назвала ее Black Atlas.

Вначале злоумышленники проводят интернет-поиск лазеек в системах защиты компаний, используя для этого обширный набор инструментов, в том числе сканеры портов и SMTP, а также средства подбора паролей.

«Слабые пароли позволяют преступникам взломать защиту корпоративной инфраструктуры еще на этапе пентестинга», — отметили в Trend Micro.

Попав за периметр, хакеры свободно передвигаются в пределах инфраструктуры, используя вредоносное ПО для заражения компьютеров в сети и компрометации PoS-систем. Попутно они крадут различные учетные данные, к примеру пароли от электронной почты и Facebook-аккаунтов.

Дальнейшее развитие атаки предсказуемо: получив доступ к PoS-системе, злоумышленники проводят сканирование оперативной памяти, используя технологии распознавания процессов, связанных со списанием средств с карт.

Из вредоносных программ, используемых в ходе атаки Black Atlas, Trend Micro зафиксировала Alina, NewPOSThings, бэкдор Kronos и BlackPOS. Последний, к слову, использовался во взломе систем американского ритейлера Target, в результате чего были скомпрометированы данные более 40 млн карт.

BlackPOS не передает платежные данные напрямую на сервера, он сохраняет их локально в виде текстового файла. Организаторы атаки Black Atlas сочетают PoS-зловредов с сегментированным ботнетом Gorynych, он же Diamond Fox. «Горыныч» подцепляет txt-файл с данными и делает POST-запрос по HTTP, таким образом сливая похищенные данные. Этот же ботнет иногда используется для распространения BlackPOS.

По данным Trend Micro, больше всего от действий группировки пострадали предприятия США, Австралии, Индии, Тайваня, Германии и США.

Заметим, в последнее время наблюдается активизация криминальных групп, использующих PoS-зловреды. Эти вредоносные программы постоянно эволюционируют — так, недавно были обнаружены сэмплы нового PoS-зловреда, отличающегося невероятной сложностью.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры