Эксперты ИБ-компании Trend Micro обнаружили и проанализировали новую разновидность троянов для PoS-терминалов, получившую название PwnPOS. По мнению специалистов, этот вид вредоносов существует с 2013 года, возможно даже ранее. Тем не менее, выявить его удалось только сейчас. Исследователи Trend Micro поясняют, что PwnPOS – один из тех безукоризненных образцов вредоносного ПО, которые могут оставаться незамеченными на протяжении многих лет благодаря своей простой, но, вместе с тем, продуманной конструкции.
Вредонос состоит из дух модулей: RAM-скрепера и двоичного кода, ответственного за эксфильтрацию данных. В то время как RAM-скрепер остается неизменным, компонент эксфильтрции данных претерпел несколько изменений. Эти факты позволяют предположить, что у трояна есть два различных автора.
Подобно другим банковским вредоносам, PwnPOS регистрирует все активные процессы, осуществяет поиск данных кредитных карт и сохраняет их в отдельном файле, который затем сжимает и зашифровывает. Впоследствии файл в виде электронного письма отправляется на определенный почтовый адрес.
Троян остается незамеченным благодаря способности добавлять и убирать себя из списка сервисов, при необходимости загружать и удалять файлы, маскировать вредоносные файлы под самые обычные и скрывать их в директории %SYSTEM$, а также хранить похищенные данные в .dat-файле, размещенном в директории %SystemRoot%system32.
Эксперты зафиксировали случаи использования PwnPOS совместно с другими вредоносами для PoS-терминалов, такими как BlackPOS и Alina. В основном они затрагивали небольшие и средние предприятия Японии, Австралии, Индии, США, Канады, а также Германии и Румынии, использующие машины под управлением 32-битных версий Windows XP или Windows 7.
.png)