Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

ModPOS: самое сложное на данный момент вредоносное ПО для ТСП

11 Декабря 2015 Количество просмотров 1470 просмотров
ModPOS123.jpg

Первые компоненты трояна ModPOS появились еще в 2012 году. Впервые факты нанесения ущерба вирусом были обнаружены в конце 2013 года, и ожидается, что в будущем эта угроза сохранится.

По информации компании iSight Partners, на сегодняшний момент эта вредоносная программа уже похитила информацию с миллионов платежных карт.

Отдельные модули этого вируса обычно упакованы в виде драйверов ядра, что сильно затрудняет их обнаружение. Пока специалистам удалось выявить три таких модуля: загрузчик новых компонентов, кейлоггер и модуль копирования терминалов. Отдельной антивирусной программе удалось обнаружить лишь загрузчик новых компонентов (Straxbot). Также ModPOS создает несколько дополнительных модулей, предназначенных для сбора информации о целевой системе, доменах, компьютерах и ресурсах сети, доступных для инфицированной системы, а также сведения об именах пользователей и паролях локальных и доменных учетных записей. Вся эта информация отправляется злоумышленникам.

«С точки зрения кодировки, эти образцы гораздо сложнее обычных вредоносных программ; здесь использовано кодирование на профессиональном уровне, а размеры, внедренная операционная безопасность и общие характеристики кода свидетельствуют о том, что на их создание и отладку ушло значительное количество времени и ресурсов, а также потребовалось углубленное изучение способов нейтрализации системы безопасности и инструментов защиты от взлома, – отмечают аналитики. – Драйверы вводят вредоносный код в целый ряд процессов, включая системные, winlogon.exe, firefox.exe и credit.exe. Процесс credit.exe примечателен тем, что он непосредственно связан с похищением данных отслеживания кредитных карт из оперативной памяти системы терминала. Это уникальный исполняемый модуль, который используется поставщиками платежных терминалов как часть программного обеспечения», – поясняют специалисты.

«Мы уверены, что злоумышленники подстраивают вредоносное ПО под конкретную рабочую среду. Эти программы способны регистрировать нажатия клавиш, выгружать похищенную информацию и загружать другие вредоносные компоненты. Они используют шифрование AES-256-CBC для хранения и передачи данных, и шифровальный ключ генерируется индивидуально для каждой атакуемой системы». Аналитики считают, что авторы трояна имеют связи с Восточной Европой.

«Уровень сложности ModPOS и большинства вирусных программ для терминалов стал выше. В сентябре и октябре 2015 года на хакерских форумах активно обсуждались вопросы обмена информацией о существующем коде терминалов в ТСП, а также помощь в добавлении функций и тестировании полученных результатов. Хакерское сообщество очень активно делилось информацией, проводило тесты, дорабатывало коды и проводило повторные тесты, начиная с лета все готовились к сезону праздничного шоппинга, – отмечает Пол Флетчер, ведущий специалист по кибербезопасности компании Alert Logic. – На мой взгляд, факт возросшей сложности вредоносных программ для ТСП особенно интересен тем, что злоумышленниками использовались шифрование и концепции «антикриминалистики» (также известной как умышленное запутывание кода или антианалитика)».

«Использование шифрования хакерами заставило себя долго ждать, и мне кажется это интересным, поскольку лучшая практика профессионалов в области безопасности – это использовать шифрование, где только возможно. Пока некоторые организации не спешили внедрять шифрование, хакерское сообщество ухватилось за эту концепцию и получило преимущество. Этот факт показывает, что одни и те же инструменты и технологии могут использоваться как злоумышленниками, так и специалистами по безопасности, и одних технологических решений бывает недостаточно, важнее всего люди и процессы, выстроенные вокруг этих решений, – подчеркивает специалист. – Наличие в сложном вредоносном ПО компонента, противодействующего криминалистической экспертизе, является доказательством того, что хакерское сообщество провело масштабную разведку в области многочисленных систем, функционирующих в точках продаж, а также систем обеспечения (серверной части) инфраструктуры розничных операторов».

Источник:  Retail&Loyalty

Новости по теме

14:31, 3 Июля 2017 Количество просмотров 309 просмотров
«Роснефть» ликвидировала последствия кибератаки
Розничная сеть компании работает в штатном режиме, - говорится в сообщении компании.
12:17, 28 Июня 2017 Количество просмотров 294 просмотра
Почта России пресекла крупную мошенническую схему отправки «серой почты»
Сотрудниками службы безопасности Почты России проведена масштабная операция по выявлению и пресечению мошеннической схемы, по которой в почтовую сеть поступали сотни тысяч неучтенных и неоплаченных почтовых отправлений. Ущерб, причиненный государству, составил сотни миллионов рублей.
11:19, 28 Июня 2017 Количество просмотров 351 просмотр
Вирус Petya атаковал российские туристические компании
Среди туроператоров хакерской атаке подверглись «Музенидис Трэвел» и ANEX Tour.  
11:06, 28 Июня 2017 Количество просмотров 290 просмотров
АШАН на Украине подвергся хакерской атаке
«Ашан Ритейл Украина» допускает проблемы с поставками продукции вследствие кибератаки вируса-вымогателя Petya.
10:50, 28 Июня 2017 Количество просмотров 382 просмотра
Petya: эксперты рассказали о природе вируса
Более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. Как отмечают эксперты Positive Technologies, эта кампания оказалась вовсе не связана с WannaCry.

Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065