Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

ModPOS: самое сложное на данный момент вредоносное ПО для ТСП

11 Декабря 2015 Количество просмотров 1284 просмотра
ModPOS123.jpg

Первые компоненты трояна ModPOS появились еще в 2012 году. Впервые факты нанесения ущерба вирусом были обнаружены в конце 2013 года, и ожидается, что в будущем эта угроза сохранится.

По информации компании iSight Partners, на сегодняшний момент эта вредоносная программа уже похитила информацию с миллионов платежных карт.

Отдельные модули этого вируса обычно упакованы в виде драйверов ядра, что сильно затрудняет их обнаружение. Пока специалистам удалось выявить три таких модуля: загрузчик новых компонентов, кейлоггер и модуль копирования терминалов. Отдельной антивирусной программе удалось обнаружить лишь загрузчик новых компонентов (Straxbot). Также ModPOS создает несколько дополнительных модулей, предназначенных для сбора информации о целевой системе, доменах, компьютерах и ресурсах сети, доступных для инфицированной системы, а также сведения об именах пользователей и паролях локальных и доменных учетных записей. Вся эта информация отправляется злоумышленникам.

«С точки зрения кодировки, эти образцы гораздо сложнее обычных вредоносных программ; здесь использовано кодирование на профессиональном уровне, а размеры, внедренная операционная безопасность и общие характеристики кода свидетельствуют о том, что на их создание и отладку ушло значительное количество времени и ресурсов, а также потребовалось углубленное изучение способов нейтрализации системы безопасности и инструментов защиты от взлома, – отмечают аналитики. – Драйверы вводят вредоносный код в целый ряд процессов, включая системные, winlogon.exe, firefox.exe и credit.exe. Процесс credit.exe примечателен тем, что он непосредственно связан с похищением данных отслеживания кредитных карт из оперативной памяти системы терминала. Это уникальный исполняемый модуль, который используется поставщиками платежных терминалов как часть программного обеспечения», – поясняют специалисты.

«Мы уверены, что злоумышленники подстраивают вредоносное ПО под конкретную рабочую среду. Эти программы способны регистрировать нажатия клавиш, выгружать похищенную информацию и загружать другие вредоносные компоненты. Они используют шифрование AES-256-CBC для хранения и передачи данных, и шифровальный ключ генерируется индивидуально для каждой атакуемой системы». Аналитики считают, что авторы трояна имеют связи с Восточной Европой.

«Уровень сложности ModPOS и большинства вирусных программ для терминалов стал выше. В сентябре и октябре 2015 года на хакерских форумах активно обсуждались вопросы обмена информацией о существующем коде терминалов в ТСП, а также помощь в добавлении функций и тестировании полученных результатов. Хакерское сообщество очень активно делилось информацией, проводило тесты, дорабатывало коды и проводило повторные тесты, начиная с лета все готовились к сезону праздничного шоппинга, – отмечает Пол Флетчер, ведущий специалист по кибербезопасности компании Alert Logic. – На мой взгляд, факт возросшей сложности вредоносных программ для ТСП особенно интересен тем, что злоумышленниками использовались шифрование и концепции «антикриминалистики» (также известной как умышленное запутывание кода или антианалитика)».

«Использование шифрования хакерами заставило себя долго ждать, и мне кажется это интересным, поскольку лучшая практика профессионалов в области безопасности – это использовать шифрование, где только возможно. Пока некоторые организации не спешили внедрять шифрование, хакерское сообщество ухватилось за эту концепцию и получило преимущество. Этот факт показывает, что одни и те же инструменты и технологии могут использоваться как злоумышленниками, так и специалистами по безопасности, и одних технологических решений бывает недостаточно, важнее всего люди и процессы, выстроенные вокруг этих решений, – подчеркивает специалист. – Наличие в сложном вредоносном ПО компонента, противодействующего криминалистической экспертизе, является доказательством того, что хакерское сообщество провело масштабную разведку в области многочисленных систем, функционирующих в точках продаж, а также систем обеспечения (серверной части) инфраструктуры розничных операторов».

Источник:  Retail&Loyalty
Как вам статья?
(Голосов: 1, Рейтинг: 5)

Новости по теме

15:01, 2 Декабря 2016 Количество просмотров 181 просмотр
Сотовые операторы получили инструкции на случай кибератак
Минкомсвязи и ФСБ отправили сотовым операторам телеграммы с инструкциями на случай кибератак.
12:10, 24 Ноября 2016 Количество просмотров 269 просмотров
WhatsApp атаковали мошенники
Мошенники собирают персональные данные, обещая бесплатные билеты на рейсы авиакомпании Emirates.** Перед новогодними каникулами мошенники пытаются воспользоваться повышенным спросом на авиабилеты. В этом году в WhatsApp активна спам-рассылка про «подарок от Emirates».
16:10, 10 Ноября 2016 Количество просмотров 307 просмотров
Каналы связи в «Эльдорадо» защищает ИнфоТеКС
Системы защиты информации компании ИнфоТеКС (ведущего отечественного разработчика программно-аппаратных решений в сфере информационной безопасности) обеспечивают защиту каналов связи в распределенной IT-инфраструктуре крупнейшей в России сети магазинов бытовой техники, электроники и товаров для дома «Эльдорадо».
11:39, 10 Ноября 2016 Количество просмотров 225 просмотров
Правительство одобрило установку «черных ящиков» в автомобилях
Для реализации проекта создана межведомственная рабочая группа, которая займется подготовкой законодательной базы.
13:00, 26 Октября 2016 Количество просмотров 400 просмотров
Автоматический обмен информацией (CRS) с Россией. Прогнозы
Присоединение России к конвенции по автоматическому обмену банковской информацией с 2018 года воодушевил налоговиков всего мира, включая Россию, что теперь банковской тайны больше нет. И информация из Швейцарских и других банков станет общедоступной.

Спонсор рубрики

Анонс номера

Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065