Обнаружен новый троян, распространяющийся на POS-терминалах

image

Теги: Group-IB, троян, POS-терминал

Эксперты обнаружили семь C&C-серверов, маскирующихся под блоги Wordpress и известные форумные движки.

Исследователи компании Group-IB обнаружили новый троян BlackPOS (MD5: cbd268e260bf40c25f1bff8b85e04e01), распространяющийся на POS-терминалах, которые подключаются к компьютерам кассиров через USB или COM. За последнее время эксперты сообщили об обнаружении в странах СНГ и Евросоюза семи C&C-серверов вредоносного кода, часть которых маскируется под блоги Wordpress и известные форумные движки.

Вредоносное ПО попадает на системы пользователя либо инсайдерским способом непосредственно в точке продаж, либо удаленным, посредством ошибок конфигурации в сетевом периметре. Преимущественно эксплуатируются уязвимости в незащищенном способе удаленного администрирования (VNC - 60%, RDP - 30%).

Троян позволяет злоумышленникам похищать данные банковских карт подобно скиммингу, но без физической близости к банкомату и процедуры последующего сбора данных. Полезная нагрузка представляет собой сканирующий модуль RAM или соответствующего порта на предмет сигнатур Track 2.

Кроме того, эксперты сообщили также о нескольких вариантах обнаруженного трояна (Alina, BlackPOS, Dexter, Vskimmer). По словам Group-IB, их создателями является одна и та же преступная группировка, совершающая преступления на территории разных стран.


или введите имя

CAPTCHA
К
06-06-2013 14:51:20
никогда не юзаю карты в супермаркете
0 |
Dr.Zoidberg
06-06-2013 16:09:09
Я теперь тоже не буду.
0 |
06-06-2013 16:53:13
На сколько мне известно, там невозможно просто взять и перехватить код карты. Подробнее была статья на хабре про панели и терминалы для считывания банковских карт.
0 |
Николай
06-06-2013 17:24:46
Какой еще код карты? Есть модели POS'ов, связанных с ПК, которые проецируют часть данных в память для временного хранения, из них и выделяют.
0 |
Алексей
07-06-2013 08:53:23
Модели POS'ов, связанных с ПК, которые проецируют часть данных в память для временного хранения, ни когда не пройдут сертификацию на PCI DSS, а следовательно не появятся на кассах крупных торговых сетей, ибо им нафиг не нужно из-за этого самостоятельно проходить процедуру сертификации своего кассового ПО на соответствие данному стандарту.
0 |
Николай
07-06-2013 13:27:04
Другой вопрос, что они всеравно появляются, судя по инцидентам, в том числе как и модифицированные PED, так как никто их тщательно не проверяет, несмотря на наличие сертификации, а обслуживаются они левыми IT-аутсорсерами, которые, что хотят, то и ставят, почему и в ресторанах и шопах, потом на тех же кассах фрод возникает
0 |
Иван
10-06-2013 06:54:35
Визовстакая статейка на эту тему: http://usa.visa.com/download/merchants/alert-prevent-grocer-malware-attacks-04112013.pdf
0 |
Сидоров кассир
07-06-2013 14:35:16
Юзайте бумажки, а карты используйте тольк о в проверенных местах.
0 |
Васильев кассир
01-07-2013 15:38:29
Чтобы создать реестр проверенных мест нужно сначала побывать в непровернных.
0 |
Алекс
14-06-2013 15:37:41
Вообще-то POS-ы устанавливаются банками, с которыми торгвые сети заключают договора на эквайринг. POS-ы принадлежат банкам, модели выбираются банками на свое усмотрение. Канал связи и отправляемые сообщения между POS и процессингом шифруется в терминале. Еще утверждать не буду, но по-моему сведения с карты передаются в банк, а по COM или USB на кассу по-идее передаются данные не по карте, а подтверждение о том ,что на карте есть необходимый лимит средств и он списан со счета в банке. На счет соответствия PCI DSS, у нас в России процентов 90 банков пока не соответствует этому стандарту, соответсвенно и оборудование не должно попадать под действие этого стандарта. Надеюсь в ближайшее время Банк России введт его в обязательном порядке
0 |