Исследователи из компании Kroll Cyber Security идентифицировали PinkKite в 2017 году в ходе девятимесячного расследования крупной вредоносной кампании против POS-терминалов, завершившегося в минувшем декабре. Как полагают эксперты Кортни Дэйтер (Courtney Dayter) и Мэтт Бромили (Matt Bromiley), это была первая атака зловреда. Они поделились своими находками на конференции ИБ-аналитиков Security Analyst Summit (SAS), организованной «Лабораторией Касперского».

PinkKite весит всего 6 КБ и содержит модули считывания памяти и проверки данных. Благодаря малому размеру программа избегает обнаружения, также как и другие семейства легких POS-зловредов, в частности TinyPOS и AbaddonPOS.

«PinkKite отличается встроенными механизмами закрепления в системе, жестко прописанным двойным XOR-шифрованием (для номеров банковских карт) и бэкенд-инфраструктурой, извлекающей данные в центр обмена информацией», — сообщила Дэйтер.

Обычно POS-зловреды передают украденное напрямую на командный сервер. Однако организаторы кампании PinkKite используют три промежуточных хранилища, расположенных в Южной Корее, Канаде и Нидерландах.

«Вероятно, злоумышленникам было проще передавать данные в центры обмена информацией. Кроме того, это помогло им дистанцироваться от POS-терминалов, — считает Бромили. — Но мы как исследователи тоже оценили такое решение, поскольку оно сделало кампанию очень заметной».

Исполняемый файл PinkKite стремится маскироваться под настоящие компоненты Windows, такие как svchost.exe, ctfmon.exe и AG.exe. В целом специалистам Kroll удалось выявить несколько семейств зловреда. «Вариация с белым списком содержала перечень целевых процессов. Версия с черным списком полагалась на перечень процессов, которые следует игнорировать», — рассказывает Бромили.

Когда PinkKite считывает данные банковской карты, он применяет алгоритм Луна для проверки номеров. Чтобы усложнить анализ и обнаружение зловреда, авторы добавили в него дополнительный уровень обфускации посредством двойной операции XOR, кодирующей 16-значные номера кредиток с помощью заранее заданного ключа. После этого данные карт сохраняются в виде сжатых файлов с расширениями .f64, .n9 или .sha64. Каждый такой документ может содержать до 7000 номеров. Записи периодически пересылаются вручную через отдельный сеанс RDP на один из трех центров обмена информацией PinkKite.

«Эти удаленные системы хранения выступают в качестве централизованных точек сбора, насчитывающих сотни и даже тысячи файлов с результатами работы зловреда», — добавляет Дэйтер.

Специалисты лаборатории Kroll не стали рассказывать о преступниках, стоящих за PinkKite, описав лишь метод проникновения программы на POS-терминалы. Как полагают эксперты, злоумышленники заражают основную систему и оттуда через утилиту PsExec распространяют вредоносный код по узлам корпоративной сети. Затем они идентифицируют службу подсистемы локальной безопасности LSASS, извлекая учетные данные утилитой Mimikatz. Скомпрометировав системы, атакующие подключаются к ним через сеанс RDP, чтобы забрать информацию о банковских картах.

Сигнал о потенциальном заражении Дэйтер и Бромили получили от своего клиента, узнавшего, что данные кредиток его покупателей попали на черный рынок. Название PinkKite выбрано случайно согласно системе именования лаборатории Kroll и не связано напрямую с самим зловредом.

Категории: Вредоносные программы