Россияне создали вирус для кражи банковских данных американцев

image

Теги: вирус, банк, кредитная карта, данные

Вредоносное ПО инфицировало POS-терминалы и банкоматы крупнейших банков США.

Специалисты компании Group-IB зафиксировали новую вредоносную программу, нацеленную на POS-терминалы и кражу информации платежных карт клиентов нескольких банков США. Эксперты считают, что авторами вируса являются мошенники из России. Об этом представители Group-IB рассказали журналистам SecurityWeek.

Вредоносная программа Dump Memory Grabber сканирует память POS-терминалов и банкоматов на наличие данных банковских карт. Жертвами вируса уже стали клиенты нескольких крупных американских банков: Chase, Capital One, Citibank и Union Bank of California.

«Мы обнаружили один из C&C-серверов, на который вирус отправлял похищенные данные, однако зараженными оказалось множество POS-терминалов и банкоматов, поэтому мы все еще проводим расследование», - заявил руководитель международных проектов и технический директор CERT-GIB Андрей Комаров.

Dump Memory Grabber охотится за данными банковских карт, которые закодированы в магнитную ленту, в частности, номер счета, имя и фамилию клиента банка, а также срок действия карты. Эта информация позволяет злоумышленникам создать поддельные карты.

В Group-IB отмечают, что новый вирус написан на языке программирования C++ без использования дополнительных библиотек. Вирус добавляет себя в системный реестр, поэтому он будет автоматически запускаться при загрузке системы. Вредоносное ПО просматривает список процессов, запущенных на системе.

Большинство случаев заражения POS-терминалов и банкоматов, проанализированных Group-IB, происходили при помощи инсайдеров, которые на прямую занимались обслуживанием устройств. POS-терминалы под управлением Windows XP или Windows Embedded инфицировались удаленно, а в некоторых случаях злоумышленники использовали уязвимость в сети банкоматов, подключенных к VPN или GSM/GPRS-сетям.

Все похищенные данные передаются на удаленный сервер через FTP. IP-адрес удаленного сервера прикреплен к российскому поставщику интернет-услуг Selectel, расположенному в Москве. Помимо этого, сервер также связан с доменным именем, принадлежащим российской компании «CISLAB».

Исследователи предполагают, что автор Dump Memory Grabber является жителем РФ и использует псевдоним Wagner Richard. Он зарегистрирован в соцсети «ВКонтакте» под этим именем и, помимо всего прочего, принимает заказы на проведение DDoS-атак.

Group-IB предоставила полученную информацию компании Visa, пострадавшим банкам и правоохранительным органам США.


comments powered by Disqus