Активность GratefulPOS, Emotet и Zeus Panda возросла в преддверии новогодних праздников

Сезон новогодних праздников – горячая пора не только для компаний и простых потребителей, но и злоумышленников, которые запускают различные вредоносные кампании в целях заработка. Эксперты в области кибербезопасности обнаружили три новые вредоносные кампании по распространению троянов GratefulPOS, Emotet и Zeus Panda.

GratefulPOS – наиболее интересный из трех вышеозначенных вредоносов. Согласно данным исследователей из подразделения RSA FirstWatch, GratefulPOS представляет собой вредоносное ПО для PoS-терминалов, работающих на базе 64-разрядных версий Windows (7 и выше), а его код состоит из фрагментов кодов вредоносных семейств FrameworkPOS, TRINITY, BlackPOS и BrickPOS. Впервые GratefulPOS был замечен в середине ноября 2017 года. Вредоносное ПО требует установки вручную, то есть, для инфицирования системы злоумышленникам нужно сначала скомпрометировать сеть. По аналогии с FrameworkPOS вредонос извлекает данные платежных карт из оперативной памяти терминала и отправляет их на управляющий сервер в виде зашифрованных обфусцированных DNS-запросов.

По словам исследователей, данный метод эффективно обходит реализованные производителями PoS-терминалов обычные меры безопасности, такие как блокировка прямого доступа в интернет с устройства. Если PoS-система обращается к внутренним DNS-серверам, GratefulPOS может извлекать большие объемы данных без прямого подключения к интернету.

В преддверии новогодних праздников также возросла активность банковских троянов Zeus Panda и Emotet. Согласно данным Proofpoint, операторы Zeus Panda слегка изменили направление деятельности, в большей степени концентрируясь не на банках, а на интернет-магазинах. В целом функционал трояна практически не изменился – оказавшись на системе, вредонос внедряет вредоносный код для хищения учетных данных на сайты из своего целевого списка.

Гораздо интереснее ситуация с трояном Emotet. Перед новогодними праздниками авторы вредоносного ПО выпустили новую версию, получившую ряд полиморфных функций и возможность постоянной переупаковки вредоносного кода для уклонения от обнаружения антивирусными решениями. По словам экспертов Bromium, в процессе тестирования троян не смогли выявить 75% антивирусов.