Group-IB обнаружила сеть зараженных POS-терминалов, используемых для хищения данных кредитных карт крупнейших банков США.
Специалисты Group-IB и CERT-GIB обнаружили новую модификацию вредоносного кода «DUMP MEMORY GRABBER». Проведенное исследование показало, что новое вредоносное ПО все чаще нацелено на физических пользователей, похищая их конфиденциальные данные, номера счетов и банковских карт. Зловред направлен на заражение компьютеров с подключенными к ним POS-терминалами, распространенными в сетях розничной торговли, ресторанах, магазинах.
Стоит отметить, что ранее исследователь McAfee, Chintan Shah сообщил банковскому сообществу о возникновении вредоносного кода «vSkimmer», имеющего схожие функциональные особенности с обнаруженным зловредом. А в конце 2012 года израильская компания Seculert обнаружила вредоносный код \"Dexter\", имеющий схожую систему выборки информации из памяти компьютера.
Новое ПО написано на языке C++ и корректно функционирует на всех версиях Microsoft Windows, включая 64-битные редакции. Для сканирования памяти использует mmon.exe.
Путем использования возможностей Group-IB Bot-Trek удалось осуществить выявление всех зараженных компьютеров и локализовать масштабы ботнет-сети, включая используемый командный центр.
Перехваченные данные, содержащие треки кредитных карт, отправлялись по FTP-протоколу на командный центр ботнета злоумышленников для последующей записи на «белый пластик» для обналичивания денег.
«Следует отметить, что заражение узлов, имеющих подключенный POS-терминал, является новым трендом киберпреступного мира. Весомая доля данных угроз реализуется удаленно, путем эксплуатации уязвимостей в отношении механизмов удаленного администрирования, но стоит отметить и присутствие инсайдеров, осуществляющих данную преступную деятельность с использованием своего служебного полномочия в части работы или обслуживания POS-терминалов», - отметил Андрей Комаров, директор департамента международных проектов, аудита и консалтинга компании Group-IB, CERT-GIB CTO.
Специалистам компании Group-IB удалось обнаружить командный центр ботнета, установить автора вредоносного кода и извлечь список скомпрометированных карт для предотвращения последующего мошенничества, что является уникальным случаем в раскрытии киберпреступления и обнаружения всей преступной цепочки.
Были обнаружены скомпрометированные данные ведущих банков США - Chase, Capital One, Citibank, Union Bank of California, Nordstrom FSB и многих других. Данная информация была передана представителям VISA, пострадавшим банкам и правоохранительным органам США для последующего расследования.
В настоящий момент переданные скомпрометированные кредитные карты отозваны, в отношении зараженных POS-терминалов ведется расследование инцидента.
«Возможности Bot-Trek позволяют систематически накапливать информацию о ботнет-сетях, в том числе в состав которых входят зараженные POS-терминалы, использовать ее в целях борьбы с карточным мошенничеством путем поставки данных о скомпрометированных кредитных картах банку. Отдельный весомый блок занимают сведения о скомпрометированных учетных записях Интернет-банкинга», - говорит Никита Кислицин, руководитель направления Group-IB Bot-Trek.
Экспертам Group-IB удалось установить местонахождение преступников. По всей видимости, данная группировка, ответственная также за крупные, заказные DDos-атаки, разбросана по России, Украине и Армении.
- Стоимость медиауслуг (открыть PDF) -
.png)