Троянец NetWire вновь появился на интернет-арене, избрав новый объект охоты — данные платежных карт. Это радикальная смена интересов для зловреда, которого многие некогда считали первым многоплатформенным RAT.

В последние два года утечки из платежных систем происходят в основном по вине PoS-зловредов. Новая итерация NetWire, по свидетельству SecureWorks, тоже собирает платежные данные, но использует для этого кейлоггер, способный перехватывать информацию с устройств считывания карт, подключаемых по USB. Обновленный RAT-троянец распространяется через вложения в спам и после заражения может оставаться на машине многие месяцы и даже годы — пока его не обнаружат.

Эксперты SecureWorks обнаружили нового NetWire в сентябре, в ходе расследования киберинцидента, и установили, что раздобытый образец не обладает специальными функциями для проведения атак на PoS-системы. Этот вариант NetWire представляет собой код .NET, скомпилированный в бинарный файл, маскирующийся под TeamViewer. При исполнении троянец копирует себя в папку \AppData\ и прописывается на автозапуск средствами Windows. Он также умеет внедрять код в легитимный процесс notepad.exe, чтобы избежать обнаружения, однако эта уловка лишь выдает его с головой: в ходе тестирования notepad.exe установил связь с неким IP-адресом на порту 4588, в то время как активные соединения для этого процесса весьма необычны.

Обновленный NetWire регистрирует нажатия клавиш и внешний ввод, создавая зашифрованные файлы. Эксперты SecureWorks разработали декодер и обнаружили, что троянец крадет конфиденциальную информацию: данные первой и второй дорожки магнитной полосы карты, учетные данные в открытом виде. «Эти файлы также воспроизводили заголовок окна открытого приложения, что позволяло узнать, через какое приложение и на каком сайте была введена конфиденциальная информация», — пишут исследователи в блоге.

Имя атакованной NetWire компании в блог-записи не упомянуто, лишь сказано, что она ежедневно и в большом объеме производит обработку кредитных карт.

RAT-троянец NetWire известен в том или ином виде как минимум с 2012 года. Так, в прошлом году один из его вариантов использовался в ряде атак на банки и медучреждения; эта итерация распространялась через документы Word с вредоносным макросом, загружавшим зловреда со страниц Dropbox. В 2014 году исследователи из Palo Alto Networks обнаружили, что «нигерийские» мошенники, называющие себя Silver Spaniel, используют NetWire для удаленного контроля над системами. В том же году эксперты FireEye зафиксировали не связанную с этой схемой спам-рассылку, нацеленную на распространение RAT-инструментов вроде NetWire и DarkComet, а также троянцев ZeuS и Handsnake.

Известие о новых атаках NetWire вряд ли обрадует ритейлеров. Сезон праздничных распродаж и без того доставляет им много хлопот из-за роста махинаций с кредитными картами. Масштабная утечка в Target, которая произошла три года назад, тоже случилась в период праздников, между 27 ноября и 15 декабря. Спустя полгода тот же зловред, BlackPOS, атаковал другую крупную американскую сеть розничной торговли — Home Depot, хотя некоторые исследователи подвергли сомнению правильность идентификации PoS-зловреда.

Категории: Аналитика, Вредоносные программы