Прошло почти два года со взлома Target, и за это время PoS-зловреды стали намного сложнее. За две недели до «черной пятницы», самой масштабной распродажи в США, были замечены два новых образца PoS-зловредов, притом один из них оставался в тени пять лет.

Исследователи из компании Trustwave проанализировали Cherry Picker, вредоносный программный комплекс для компрометации PoS-терминалов, который применялся против компаний, реализующих продукты и напитки, с 2011 года. Зловред не был замечен благодаря сочетанию особых техник шифрования и обфускации, а также особенностям файлов конфигурации и параметров командной строки.

Эксперты уже замечали некоторые базовые элементы данного зловреда еще в 2011 году, но за три года вредоносная программа пережила несколько масштабных изменений, добавив в арсенал новые файлы конфигурации и методы работы с памятью, которые позволяли долго избегать детектирования.

Как рассказал Эрик Мерритт (Eric Merritt), возглавляющий группу исследователей, наблюдавших за зловредом, Cherry Picker точно знает, что ему нужно, и, если этого в системе нет, он просто бездействует. В коде прописан ряд файлов конфигурации, которые активируются только при запуске определенных процессов.

«Это означает, что автор вируса уже разобрался в устройстве системы и знает, какой процесс является целью», — написал Мерритт в блоге.

В ходе исследования в зараженной Cherry Picker системе был обнаружен файл, который, вероятно, и помогал зловреду оставаться незамеченным все эти годы. Исполняемый файл-чистильщик содержит жестко закодированные пути к зловреду, файлам с крадеными данными и легитимным файлам в системе. Специальная функция «шредера» в коде много раз перезаписывает файл, заполняя его 00, FF и другим «криптографическим мусором», по выражению Trustwave. После этого «чистильщик» уничтожает пописанный в коде список директорий, в которых располагаются файлы зловреда, файлы с похищенными данными, а затем и сам исполняемый файл. Таким образом, от PoS-зловреда не остается и следа.

«Программа PoS-терминала перезагружается, стирая зловреда из памяти», — пишет Мерритт.

«Способность этого вредоносного кода заметать следы своего пребывания в системе — основная причина, по которой он так долго оставался незамеченным. Кроме того, он привлекает к себе меньше внимания, так как отслеживает лишь тот процесс, в котором наверняка содержатся данные карт, игнорируя остальные процессы», — пояснил Мерритт журналистам Threatpost.

Другой обнаруженный на прошлой неделе PoS-зловред, Abaddon, в противоположность Cherry Picker относительно нов.

Исследователи из компании Proofpoint обнаружили образец зловреда в начале октября: он загрузился на компьютер в процессе заражения Vawtrak. В описываемой ими атаке банковский троянец Vawtrak загружал TinyLoader — загрузчик; он, в свою очередь, загружал шелл-код, которым и оказался Abaddon.

Кевин Эпштейн (Kevin Epstein), вице-президент Proofpoint по вирусной аналитике, поведал Threatpost, что Abaddon — это одна из новейших итераций сложных PoS-зловредов, коих великое множество.

«AbbadonPOS имеет возможности препятствовать анализу, использует обфускацию кода и долго сохраняет свое присутствие на зараженной машине. Кроме того, он определяет местонахождение данных кредитных карт и использует собственный протокол для вывода данных. В соответствии с общей для вредоносного ПО тенденции сложность этого зловреда продолжает возрастать», — отметил также Эпштейн.

Загрузка с помощью Vawtrak — не единственный способ распространения AbaddonPOS. По словам Эпштейна, его коллеги также зафиксировали случаи доставки посредством эксплойт-пака Angler, атакующего браузер, чтобы загрузить даунлоудер Bedep, который, в свою очередь, загружает Abaddon. Еще один способ ступенчатой атаки: поддельный документ Microsoft Word загружает Pony Loader, который загружает Vawtrak, загружающий, в свою очередь, TinyLoader; далее — по описанной выше схеме.

Как и другие PoS-зловреды, AbaddonPOS считывает процессы в памяти в поисках данных кредитных карт, но при этом выводит их при помощи собственного бинарного протокола.

«Единственный IP-адрес C&C жестко прописан в коде, как и метод кодирования, используемый для маскировки похищенной информации» — таков, согласно Proofpoint, арсенал для вывода данных зловредом.

Хотя исследователи заострили внимание на связи Abaddon с Vawtrak, это может оказаться простым совпадением. По коду PoS-зловред больше схож с TinyLoader, появившимся в январе текущего года, нежели с банковским троянцем.

«В кодах TinyDownloader и AbbadonPOS похожим образом реализованы защитные функции, отвечающие за препятствование анализу и обфускацию кода. Вполне возможно, даже вероятно, что проекты TinyDownloader и AbbadonPOS как-то связаны», — гадает Эпштейн.

Как бы то ни было, киберпреступникам есть из чего выбирать при подготовке к грядущему праздничному сезону, предупреждает Эпштейн.

«Киберпреступления — это хорошо налаженный бизнес; вряд ли хакеры, вложившиеся в разработку новых зловредов, откажутся от их монетизации», — добавил он.

Категории: Аналитика, Вредоносные программы, Главное