Новый образец PoS-трояна атакует ритейлеров через российский сервер

Специалисты ИБ-компании FireEye  зафиксировали  спам-кампанию, в ходе которой используется новый образец вредоносного ПО для PoS-терминалов, C&C-сервер которого расположен в Санкт-Петербурге. Инфицирование машин происходит через электронные письма с прикрепленным к ним фальшивым резюме.

Новый троян, получивший название NitlovePoS, предназначен для хищения платежной информации с терминалов оплаты, работающих на базе ОС Microsoft Windows. В ходе кампании, которая предположительно началась 20 мая текущего года, злоумышленники рассылают электронные сообщения с прикрепленным к ним вложением в виде файла Microsoft Word. Для того чтобы заинтересовать потенциальных жертв, в заголовке письма указываются темы «My Resume» («Мое резюме»), «Any Openings?» («Свободные вакансии?») и т.д. На самом деле документ содержит вредоносный макрос, который загружает троян NitlovePoS. После открытия файла пользователь видит просьбу об активации макроса. При этом макрос необходимо активировать вручную, а для пущей убедительности вирусописатели указали, что «он надежно защищен», отметили эксперты FireEye Нарт Вилленьев (Nart Villeneuve) и Дэниел Регаладо (Daniel Regalado).

Инфицировав компьютер жертвы, троян изменяет настройки таким образом, чтобы загрузка NitlovePoS осуществлялась после каждого перезапуска системы. Затем вредонос каждые пять минут проверяет оперативную память на наличие платежных данных. Вся найденная информация отправляется на C&C-сервер злоумышленников по SSL-соединению.