Группа хакеров использует ботнет «Горыныч» для доставки вирусного кода на POS-терминалы с последующей кражей данных платежных карт пользователей.

Среди инструментов, используемых злоумышленниками, так называемые программы для проведения тестов на проникновение (пентестов), которые в данном случае используются для взлома сетей небольших торговых компаний по всему миру с целью заражения POS-терминалов вредоносными программами.

Согласно данным антивирусной компании Trend Micro, все началось в сентябре, а к декабрю количество зараженных устройств удвоилось.

Хакеры располагают большим количеством разнообразных инструментов для сканирования интернета и определения потенциальных слабых мест в сетях торговых организаций.

Среди таких инструментов – сканеры портов, брутфорсеры для подбора паролей, SMTP-сканнеры, программы для получения контроля над удаленными машинами и другой софт, который весьма просто найти в интернете.

Сети со слабыми политиками в отношении паролей первыми падают в сражении со злоумышленниками в процессе проведения простого теста на проникновение.

Если атака на сеть проходит успешно, хакеры используют зловредное ПО и инструменты для сканирования устройств и компрометации ПОС-терминалов. По дороге также собирается вся ценная информация, к примеру, пароли от учетных записей электронной почты.

После получения доступа к системе POS-терминалов, хакеры инсталлируют так называемую программу для считывания памяти (memory scraping).

Она сканирует оперативную память (ОЗУ или RAM) на предмет данных о платежных картах, которые передаются из устройства чтения карт в розничный софт.

Аналитики Trend Micro утверждают, что атакующие используют разнообразные программы, включая Alina, NewPOSThings и BlackPOS.

Последняя также применялась в атаке против сети супермаркетов TARGET, в результате чего более 40 млн карт в США были скомпрометированы.

Но поскольку BlackPOS не имеет методов эксфильтрации данных, он сохраняет записи о платежных картах в локальном текстовом файле. Поэтому хакеры комбинируют BlackPOS с бэкдором «Горыныч» (Gorynych) или Diamond Fox.

В ноябре 2015г. компании Hilton Worldwide и Starwood Hotels подтвердили существование подобной угрозы.

Для пользователей платежных карт чрезвычайно важно защитить себя в период новогодних и рождественских праздников.

Используйте платежную карту с чипом (EMV), если она у вас есть.

Читайте также: Троян Android.iBanking свободно продается в интернете за $5000