SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
24 Июнь 2016

Как вредоносная программа PunkeyPOS крадет информацию с банковских карт

Антивирусная лаборатория PandaLabs компании Panda Security с мая осуществляет тщательное исследование POS-терминалов в ресторанах США, в рамках которого был обнаружен так называемый PunkeyPOS – вариант вредоносной программы, который способен получать доступ к данным банковских карт.

PandaLabs предоставила эту информацию в распоряжении американских правоохранительных органов, чтобы они могли предпринять соответствующие меры безопасности. Давайте посмотрим, что это такое и как это работает.

PunkeyPOS работает во всех версиях операционной системы Windows. План кибер-преступников: установить вредоносную программу на POS-терминалы, чтобы осуществлять кражу такой критически важной информации, как номера счетов, содержание магнитной полосы на банковских картах и т.д. PunkeyPOS кажется простым: он устанавливает кейлоггер, который осуществляет мониторинг нажатия клавиш, затем он устанавливает RAM-scraper, который отвечает за чтение памяти всех процессов, запущенных в системе.

Основываясь на перехваченной информации, вредоносная программа выполняет ряд операций, позволяющих установить, что является актуальным, а что нет. Что касается нажатия клавиш, то PunkeyPOS игнорирует любую информацию, которая не относится к данным банковской карты. В основном, интерес вызывает tracks1/2 из памяти процессов, получаемый от RAM-scraper. POS-терминалы считывают эту информацию с магнитных полос банковских карт, так что преступники могут использовать эти данные, чтобы позже клонировать карты.

После того как соответствующая информация была получена, она шифруется и передается на удаленный веб-сервер, который также является сервером управления и контроля (C&C). Чтобы предотвратить обнаружение информации о карте в случае, если кто-то сканирует сетевой трафик, она шифруется до момента отправки с помощью алгоритма AES.

Адрес сервера управления и контроля (C&C) можно легко получить на основе образца данной вредоносной программы путем обратного инжиниринга или анализа их коммуникаций. Ниже представлена главная страница панели управления, для доступа к ней требуется логин и пароль:

Идем по следам к Digital Pickpocketers

Авторы данной атаки были не очень осторожны, потому что сервер не был сконфигурирован правильно, PandaLabs смога получить доступ к нему без регистрационных данных.

В результате PandaLabs смогла увидеть, каким образом PunkeyPOS передает похищенную информацию. Помимо того, что панель управления предоставляет возможность доступа к украденной информации, кибер-преступники через данную панель могут повторно заразить или обновить текущих клиентов (POS-ботов).

Версия анализируемого образца PunkeyPOS: “2016-04-01”. Если мы сравним этот образец с более ранними версиями, некоторые из которых относятся к 2014 году, мы вряд ли сможем увидеть какую-либо разницу в том, как она работает.

PandaLabs сумела получить доступ к консоли управления PunkeyPOS, и установить местоположение примерно 200 POS-терминалов, которые были заражены данным вариантом вредоносной программы. Мы можем увидеть, что практически все жертвы расположены в США:

Учитывая, как легко можно продать эту информацию на «черном» рынке, и насколько удобно заражать эти POS-терминалы анонимно через Интернет, уверены, что кибер-преступники будут все чаще обращаться к этим терминалам.

Теги:
утечка информации США
Источник:
Хабрахабр
1376
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015