Исследователи обнаружили новую разновидность троянов для PoS-терминалов

[Сталкер 7 081]

 

PwnPOS регистрирует все активные процессы и осуществляет поиск данных кредитных карт.

 

Эксперты ИБ-компании Trend Micro обнаружили и проанализировали новую разновидность троянов для PoS-терминалов, получившую название PwnPOS. По мнению специалистов, этот вид вредоносов существует с 2013 года, возможно даже ранее. Тем не менее, выявить его удалось только сейчас. Исследователи Trend Micro поясняют, что PwnPOS – один из тех безукоризненных образцов вредоносного ПО, которые могут оставаться незамеченными на протяжении многих лет благодаря своей простой, но, вместе с тем, продуманной конструкции.

Вредонос состоит из дух модулей: RAM-скрепера и двоичного кода, ответственного за эксфильтрацию данных. В то время как RAM-скрепер остается неизменным, компонент эксфильтрции данных претерпел несколько изменений. Эти факты позволяют предположить, что у трояна есть два различных автора.

 

Подобно другим банковским вредоносам, PwnPOS регистрирует все активные процессы, осуществяет поиск данных кредитных карт и сохраняет их в отдельном файле, который затем сжимает и зашифровывает. Впоследствии файл в виде электронного письма отправляется на определенный почтовый адрес.

 

Троян остается незамеченным благодаря способности добавлять и убирать себя из списка сервисов, при необходимости загружать и удалять файлы, маскировать вредоносные файлы под самые обычные и скрывать их в директории %SYSTEM$, а также хранить похищенные данные в .dat-файле, размещенном в директории %SystemRoot%\system32.

 

Эксперты зафиксировали случаи использования PwnPOS совместно с другими вредоносами для PoS-терминалов, такими как BlackPOS и Alina. В основном они затрагивали небольшие и средние предприятия Японии, Австралии, Индии, США, Канады, а также Германии и Румынии, использующие машины под управлением 32-битных версий Windows XP или Windows 7. 

 

 

http://www.securitylab.ru/news/471840.php