Вредоносная кампания в точках продаж нацелена на гостиничный и развлекательный бизнес

Атаки кражи данных с кредитных карт используют технику, редко используемую во вредоносных программах POS, чтобы избежать обнаружения, и, как полагают, действуют с 2016 года.

Дэнни Палмер | 13 марта 2019. 17:00 GMT (10:00 PDT) | Тема: Безопасность

Недавно обнаруженная кампания по киберпреступности нацелена на рестораны, кинотеатры и другие предприятия розничной торговли в индустрии развлечений и индустрии гостеприимства, используя вредоносное ПО в точках продаж (POS), для того чтобы украсть информацию о кредитных картах у клиентов.

Считается, что вредоносная программа, известная как DMSniff, действует с 2016 года, и до сих пор ей удавалось пролетать незаметно, и ее исследователи из компании Flashpoint, занимающейся разведывательной информацией в области кибербезопасности, обнаружили ее.

Похожие записи

Microsoft добавляет новые конфигурации Surface Pro... Microsoft включает две новые модели Intel Core i5 с 16 ГБ ОЗУ и 256 ГБ в гараже в линейки Floor Professional и Floor Pc. Эти новые модели являются час...

Основными целями DMSniff являются малые и средние компании, которые в значительной степени полагаются на карточные транзакции, такие как продукты питания, гостиничный бизнес и индустрия развлечений.

Что отличает DMSniff от других форм POS-вредоносных программ, так это то, что он использует алгоритм генерации доменов (DGA) для создания доменов управления и контроля на лету, помогая ему противостоять демонтажу и обходить простые механизмы блокировки.

Это полезно для злоумышленников, потому что если домены будут сняты правоохранительными или хостинг-провайдерами, вредоносные программы все равно смогут обмениваться данными с скомпрометированным POS-устройством и продолжать передавать украденные данные.

В общей сложности исследователи обнаружили 11 вариантов DGA. когда такие методы редко встречаются в кампаниях по распространению вредоносного ПО, потенциально указывая на то, что это работа хорошо осведомленной киберпреступной операции.

Предполагается, что удаление вредоносных программ DMSniff начинается с того, что злоумышленники применяют комбинацию атак с применением грубой силы в попытке обойти плохие пароли и сканируют уязвимости, которые можно легко использовать, если POS-машины непреднамеренно оставляют открытыми для открытого Интернета. Также возможно, что злоумышленники могут скомпрометировать устройство, физически подделав его.

Независимо от того, каким образом вредоносное ПО доставляется, цель одна и та же: украсть информацию о кредитной карте. DMSniff собирает информацию с магнитных полос на платежных картах, когда она проходит через терминал, но до того, как она зашифрована и отправлена ​​в платежный процессор. Использование магнитной полосы на карте редко встречается в Великобритании, но чаще встречается в США.

Похожие записи

Microsoft добавляет новые конфигурации Surface Pro... Microsoft включает две новые модели Intel Core i5 с 16 ГБ ОЗУ и 256 ГБ в гараже в линейки Floor Professional и Floor Pc. Эти новые модели являются час...

При этом информация отправляется на сервер управления и контроля, которым управляют злоумышленники, которые могут объединять украденные номера кредитных карт и пытаться продать их с целью получения прибыли на подпольных форумах. В качестве альтернативы, они могут попытаться злоупотребить информацией об украденной карте для осуществления переводов и покупок для себя. хотя это увеличит риск быть пойманным.

Чтобы избежать обнаружения и анализа со стороны исследователей в области безопасности и правоохранительных органов, DMSniff использует процедуру кодирования строк, чтобы скрыть, а в случае обнаружения попытаться скрыть, как работает вредоносная программа. Учитывая то, что до сих пор точно неизвестно, как это происходит на скомпрометированных системах, похоже, это сработало в некоторой степени.

Исследователи обнаружили организации по всему миру, которые стали жертвами DMSniff. Там, где это возможно, они работали, чтобы информировать компании и их клиентов о том, что они стали жертвами кибератаки.

«По-видимому, там нет таргетинга по регионам, потому что мы обнаружили инфекции в разных странах. Все украденные данные были отправлены властям. В тех случаях, когда у нас были идентификаторы торговцев из украденных данных, мы успешно работали с соответствующие финансовые учреждения, чтобы связаться с жертвами «, сказал ZDNet Джейсон Ривз, главный исследователь угроз в Flashpoint.

Несмотря на то, что DMSniff считается активным в течение ряда лет, это, кажется, первый раз, когда он использовался в широко распространенной кампании, которая, как полагают, все еще продолжается.

Для защиты от атак Flashpoint рекомендует организациям регулярно обновлять все поверхности атак, включая POS-машины. Исследователи также предоставили показатели компромисса для DMSniff.

Читайте также: