Эксперты известной компании Trend Micro, которая специализируется на интернет-безопасности, предупреждают о проводимой хакерами массированной интернет-кампании по взлому торговых PoS-терминалов. Ряд профильных аналитиков сходится во мнении, что такие кибератаки специально готовились к разгару летнего туризма, когда отдыхающие большую часть покупок оплачивают через такие расчетные устройства. Уже в начале августа исследователи Trend Micro зафиксировали массированное распространение эксплоитов Angler.
Специалист Trend Micro Энтони Джо Мельгарехо, комментируя ситуацию с такой активизацией хакеров, отметил, что известный вирусный пакет Angler впервые был применен именно для атак на торгово-расчетные устройства, ПО которых по уязвимости он поставил «в один ряд с Adobe Flash, Reader, Java и Internet Explorer». Троян из пакета Angler — Troj_Recoload.a, — без проблем «транспортируется» в систему, благодаря двум уязвимостям Adobe Flash — CVE-2015-0336 и CVE-2015-3104. Затем, по словам Мельгарехо, вирус «проводит проверку на наличие подключенных PoS-терминалов или PoS-сетей. После этого происходит загрузка необходимого вредоносного кода».
В Trend Micro также сообщили и о совсем новой кибератаке на торговые PoS-терминалы. Злоумышленники использовали бот Andromeda, распространявший новый PoS-зловред GamaPoS. Сам бэкдор Andromeda, зафиксирован в каталоге вирусов компании «Лаборатория Касперского» как Backdoor.Win32.Androm и известен с 2011 года. Его хакеры часто применяют для «транспортировки» в систему опасных зловредов вроде ZeuS, Rovnix и др. Исследователи Trend Micro обращают внимание, что такие опасные вложения, как правило, маскируются под рекомендации к новому стандарту безопасности платежных карт (PCI DSS) или под обновление для ритейл-платформы Oracle MICROS.
Спам-рассылка помогает массово распространять вирус GamaPoS в пользовательские компьютеры, после чего по внешней команде в них начинает загружаться хакерское ПО — для оптимизации дистанционного контроля и закрепления внутри сети. Примечательно, что ПО GamaPoS, создаваемое с помощью фреймворка .NET для платформы Windows, никогда ранее не использовалось в качестве PoS-зловреда. Исследователи считают, что сочинители вирусов решились использовать данное ПО из-за простоты его написания и простотой доступа к открытому исходному коду .NET Core, что было обусловлено изменением политики Microsoft.
Затем, активируясь, GamaPoS выискивает HTTPS-соединение с одним из интернет-центров в заложенном в код списком URL. Кстати, через тот же адрес происходит впоследствии отправка украденных данных Track 2 банковских карт Visa, Discover, Maestro и некоторых других, которые зловред отфильтровывает из улова по первым цифрам последовательностей.
Исследователи отметили, что GamaPoS имеет некоторое сходство с известным зловредом NitlovePOS, который снимает информацию с банковских карт покупателей при расчетах за приобретенные товары. — Оба используют вредоносные макросы и распространяются через схожую схему спам-рассылки, кроме того, в обеих вредоносных кампаниях на начальном этапе задействован один и тот же блок IP-адресов.
Как показывает анализ, 85% атакованных при помощи GamaPoS корпоративных ресурсов разного профиля размещены на территории 13 американских штатов. Для массированной киберкампании хакеры пока задействовали 9 доменов, ассоциированных с одним и тем же IP-адресом. Эксперты склонны расценивать разворачиваемую хакерами кампанию кибератак на PoS-терминалы в США как репетицию для более масштабной операции по взлому в ближайшем будущем.
