Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

ModPOS: самое сложное на данный момент вредоносное ПО для ТСП

11 Декабря 2015 Количество просмотров 1355 просмотров
ModPOS123.jpg

Первые компоненты трояна ModPOS появились еще в 2012 году. Впервые факты нанесения ущерба вирусом были обнаружены в конце 2013 года, и ожидается, что в будущем эта угроза сохранится.

По информации компании iSight Partners, на сегодняшний момент эта вредоносная программа уже похитила информацию с миллионов платежных карт.

Отдельные модули этого вируса обычно упакованы в виде драйверов ядра, что сильно затрудняет их обнаружение. Пока специалистам удалось выявить три таких модуля: загрузчик новых компонентов, кейлоггер и модуль копирования терминалов. Отдельной антивирусной программе удалось обнаружить лишь загрузчик новых компонентов (Straxbot). Также ModPOS создает несколько дополнительных модулей, предназначенных для сбора информации о целевой системе, доменах, компьютерах и ресурсах сети, доступных для инфицированной системы, а также сведения об именах пользователей и паролях локальных и доменных учетных записей. Вся эта информация отправляется злоумышленникам.

«С точки зрения кодировки, эти образцы гораздо сложнее обычных вредоносных программ; здесь использовано кодирование на профессиональном уровне, а размеры, внедренная операционная безопасность и общие характеристики кода свидетельствуют о том, что на их создание и отладку ушло значительное количество времени и ресурсов, а также потребовалось углубленное изучение способов нейтрализации системы безопасности и инструментов защиты от взлома, – отмечают аналитики. – Драйверы вводят вредоносный код в целый ряд процессов, включая системные, winlogon.exe, firefox.exe и credit.exe. Процесс credit.exe примечателен тем, что он непосредственно связан с похищением данных отслеживания кредитных карт из оперативной памяти системы терминала. Это уникальный исполняемый модуль, который используется поставщиками платежных терминалов как часть программного обеспечения», – поясняют специалисты.

«Мы уверены, что злоумышленники подстраивают вредоносное ПО под конкретную рабочую среду. Эти программы способны регистрировать нажатия клавиш, выгружать похищенную информацию и загружать другие вредоносные компоненты. Они используют шифрование AES-256-CBC для хранения и передачи данных, и шифровальный ключ генерируется индивидуально для каждой атакуемой системы». Аналитики считают, что авторы трояна имеют связи с Восточной Европой.

«Уровень сложности ModPOS и большинства вирусных программ для терминалов стал выше. В сентябре и октябре 2015 года на хакерских форумах активно обсуждались вопросы обмена информацией о существующем коде терминалов в ТСП, а также помощь в добавлении функций и тестировании полученных результатов. Хакерское сообщество очень активно делилось информацией, проводило тесты, дорабатывало коды и проводило повторные тесты, начиная с лета все готовились к сезону праздничного шоппинга, – отмечает Пол Флетчер, ведущий специалист по кибербезопасности компании Alert Logic. – На мой взгляд, факт возросшей сложности вредоносных программ для ТСП особенно интересен тем, что злоумышленниками использовались шифрование и концепции «антикриминалистики» (также известной как умышленное запутывание кода или антианалитика)».

«Использование шифрования хакерами заставило себя долго ждать, и мне кажется это интересным, поскольку лучшая практика профессионалов в области безопасности – это использовать шифрование, где только возможно. Пока некоторые организации не спешили внедрять шифрование, хакерское сообщество ухватилось за эту концепцию и получило преимущество. Этот факт показывает, что одни и те же инструменты и технологии могут использоваться как злоумышленниками, так и специалистами по безопасности, и одних технологических решений бывает недостаточно, важнее всего люди и процессы, выстроенные вокруг этих решений, – подчеркивает специалист. – Наличие в сложном вредоносном ПО компонента, противодействующего криминалистической экспертизе, является доказательством того, что хакерское сообщество провело масштабную разведку в области многочисленных систем, функционирующих в точках продаж, а также систем обеспечения (серверной части) инфраструктуры розничных операторов».

Источник:  Retail&Loyalty

Новости по теме

16:21, 16 Февраля 2017 Количество просмотров 201 просмотр
Платежная система «Мир» начинает продвигать собственный стандарт электронной коммерции
Новый стандарт электронной коммерции в рамках платежной системы «Мир» представил на 9-м Уральском форуме «Информационная безопасность финансовой сферы» Евгений Соловьев, заместитель директора Департамента архитектуры и разработки ПО АО НСПК.
12:01, 9 Февраля 2017 Количество просмотров 317 просмотров
Резидент «Сколково» нашел союзника в борьбе с контрафактом
Резидент ИТ-кластера Фонда «Сколково» международный проект AuthenticateIT и компания BrandSecurity разработают уникальный, основанный на самых передовых технологиях сервис в области защиты интеллектуальной собственности.
16:16, 2 Февраля 2017 Количество просмотров 280 просмотров
ФСБ: ущерб от хакерских атак в мире составляет до $1 трлн
В ведомстве отметили, что ущерб составляет от 0,4% до 1,5% мирового ВВП, и показатели имеют тенденцию к росту.
15:59, 25 Января 2017 Количество просмотров 308 просмотров
ESET: 40% уязвимостей Windows обнаружено в браузерах
ESET представила ежегодный отчет о кибератаках и уязвимостях в программных продуктах Microsoft Windows.
12:02, 24 Января 2017 Количество просмотров 272 просмотра
Check Point: вымогатель Locky ушел на новогодние каникулы
Снижение количества заражений Locky в декабре 2016 привело к его  исключению из топ-10 угроз впервые с июня 2016.

Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


Анонс мероприятий

Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065