После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт в середине декабря прошлого года, причем речь идет об оплате именно с использованием POS терминалов, так как клиентов онлайн-магазина это не коснулось. Сегодня же появилась информация, что еще одна крупная сеть магазинов Michaels занимается расследованием инцидента кражи данных карт. Службы безопасности банковских учреждений уже зафиксировали сотни случаев мошеннического доступа к данным кредитных карт, украденных через Michaels.
Следует отметить, что несколько дней назад ФБР разослали приватный отчет американским ритейлерным сетям с предупреждением о готовящихся атаках на POS-терминалы с целью установки вредоносного кода типа BlackPOS.
The U.S. Federal Bureau of Investigation distributed a confidential, three-page report to retail companies last week describing the risks posed by «memory-parsing» malware that infects point-of-sale (POS) systems, which include cash registers and credit-card swiping machines found in store checkout aisles.
Такой вредоносный код ориентирован на проникновение в специальный процесс ОС, в контексте которого осуществляется проведение платежной транзакции, считывание данных магнитной полосы, обработка PIN-кода и других конфиденциальных данных. Обычно вредоносное ПО с этими возможностями упоминается как memory grabber или memory parser или CC data parser, намекая на то, что он ищет в памяти необходимого процесса определенные шаблоны байт, которые соответствуют информации, снятой терминалом с кредитной карты. Например, в случае с Trojan.POSRAM, вредоносный код собирает эти данные из процесса pos.exe, записывает их в системный файл и по мере необходимости отправляет их на удаленный сервер.
В отчете ФБР упоминается вредоносный инструмент Alina, который может использоваться атакующими для сбора данных из необходимого процесса. Также в нем заложена функция обновления компонентов, что может сделать его более сложным для обнаружения.
Один из семплов Trojan.POSRAM находится на VirusTotal и имеет уровень обнаружения 33 / 50.
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий