Эксперты из Arbor Networks обнаружили два сервера, на которых хранились похищенные вредоносом данные платежных карт жертв. Эти сервисы были активны в начале ноября, и, судя по информации, хранящейся на них, Dexter инфицировал системы преимущественно в странах восточного полушария.
Dexter и Project Hook похищает информацию Track 1 и Track 2, записанную на магнитной полосе банковской карты, во время транзакции, осуществляемой через зараженную POS-систему. Злоумышленники используют эти данные для дальнейшего создания клонов карт.
Исследователи из Arbor Networks идентифицировали три отдельных версии вируса Dexter: Stardust, Millenium и Revelation. Первая версия Dexter была обнаружена в ноябре 2012 года экспертами из израильской компании Seculert. Ее исходный код стал доступен широкому кругу пользователей, и злоумышленники начали активно использовать его для разработки вредоносного ПО для POS-систем.
Версия Stardust появилась на черном рынке в августе нынешнего года. Этот вредонос может похищать информацию не только из системной памяти, но также из внутреннего сетевого трафика. Исследователи из IntelCrawler обнаружили ботнет, использующий эту версию Dexter, оба C&C-сервера которого размещены в Москве и Санкт-Петербурге. В настоящее время эксперты исследуют один из серверов, который все еще активен. Правоохранительные органы были уведомлены об инциденте.
По словам специалистов, при помощи Stardust злоумышленникам удалось скомпрометировать около 20 тыс. кредитных карт. Пока неизвестно, каким образом вредонос попадает в POS-системы. Тем не менее, эксперты из IntelCrawler обнаружили, что вредоносный код эксплуатирует уязвимость в ПО ClearviewPOS, которое широко используется в пищевой индустрии. Как Stardust, так и Revelation внедряет код в особые процессы ClearviewPOS, контролирующие память.
.png)