Новый FastPOS использует Windows Mailslot для хранения похищенных данных

Авторы трояна FastPOS для PoS-терминалов реализовали в нем новый механизм эксфильтрации данных. По словам исследователей компании Trend Micro, для хранения похищенных данных перед отправкой их на подконтрольный злоумышленникам C&C-сервер механизм использует Windows Mailslot.

Новая версия трояна появилась в июне нынешнего года, и эксперты обнаружили его рекламу на подпольных форумах кардеров. Как показал анализ, в отличие от остальных вредоносов для PoS-терминалов FastPOS работает очень быстро, жертвуя при этом незаметностью. Злоумышленники используют троян по крайней мере с марта 2015 года, и каждый сентябрь разработчики обновляют его, готовясь к предпраздничному сезону покупок.

Обновленный FastPOS может инфицировать компьютеры, работающие под управлением как 32-разрядной, так и 64-разрядной версии Windows. Троян состоит из двух компонентов – кейлоггера и модуля для похищения данных из памяти. В отличие от оригинальной версии, где оба модуля работали в одном системном процессе, два компонента обновленного FastPOS работают в разных процессах. Благодаря этому троян сложнее удалить, однако он становится более заметным для антивирусных решений. Как пояснили эксперты, обнаружить HTTP-соединение, по которому вредонос похищает данные банковских карт из PoS-терминалов, не составляет труда, поскольку данные не шифруются.

Помимо всего вышеперечисленного, главные изменения коснулись хранения похищенной информации перед ее отправкой на C&C-сервер. Как и оригинальная версия, обновленный троян хранит данные в оперативной памяти самого компьютера. FastPOS использует механизм Mailslot – временные файлы (мэйслоты) в оперативной памяти, предназначенные для хранения межпроцессных коммуникаций. Поскольку модули вредоноса внедряются в такие процессы, как explorer.exe и services.exe, они могут использовать мэйлслоты для хранения похищенных данных.