Твитнуть
Российский вирус похищает банковские данные американцев
Специалистами компании Group-IB была обнаружена новая вредоносная программа, нацеленная на POS-терминалы и кражу информации с платежных карт клиентов банков США. По предварительным исследованиям удалось установить, что автором вируса являются мошенники из России.
Вредоносная программа, получившая наименование Dump Memory Grabber, сканирует память POS-терминалов и банкоматов на наличие данных банковских карт. В результате жертвами вируса уже стали клиенты следующих американских банков:
Chase;
Capital One;
Citibank;
Union Bank of California.
Также специалисты обнаружили один из C&C-серверов, на который отправлялись похищенные данные, а также множество зараженных POS-терминалов и банкоматов.
Dump Memory Grabber охотится за данными банковских карт, закодированных в магнитную ленту, в частности, номер счета, имя и фамилию клиента банка, а также срок действия карты. По этой информации злоумышленникам создают поддельные карты.
Вредонос написан на языке программирования C++ без использования дополнительных библиотек. Для запуска в автоматическом режиме при загрузке системы, он прописывает себя в системный реестр. Вредоносное ПО просматривает список процессов, запущенных на системе.
В ходе исследования также удалось выяснить, что большинство случаев заражения POS-терминалов и банкоматов происходили при помощи инсайдеров, которые напрямую занимаются обслуживанием устройств. POS-терминалы под управлением Windows XP или Windows Embedded инфицировались удаленно, а в некоторых случаях злоумышленники использовали уязвимость в сети банкоматов, подключенных к VPN или GSM/GPRS-сетям.
Все похищенные данные передаются на удаленный сервер через FTP. IP-адрес удаленного сервера прикреплен к российскому поставщику интернет-услуг Selectel, Москва. Сервер также связан с доменным именем, принадлежащим российской компании "CISLAB".
Вредоносная программа, получившая наименование Dump Memory Grabber, сканирует память POS-терминалов и банкоматов на наличие данных банковских карт. В результате жертвами вируса уже стали клиенты следующих американских банков:
Chase;
Capital One;
Citibank;
Union Bank of California.
Также специалисты обнаружили один из C&C-серверов, на который отправлялись похищенные данные, а также множество зараженных POS-терминалов и банкоматов.
Dump Memory Grabber охотится за данными банковских карт, закодированных в магнитную ленту, в частности, номер счета, имя и фамилию клиента банка, а также срок действия карты. По этой информации злоумышленникам создают поддельные карты.
Вредонос написан на языке программирования C++ без использования дополнительных библиотек. Для запуска в автоматическом режиме при загрузке системы, он прописывает себя в системный реестр. Вредоносное ПО просматривает список процессов, запущенных на системе.
В ходе исследования также удалось выяснить, что большинство случаев заражения POS-терминалов и банкоматов происходили при помощи инсайдеров, которые напрямую занимаются обслуживанием устройств. POS-терминалы под управлением Windows XP или Windows Embedded инфицировались удаленно, а в некоторых случаях злоумышленники использовали уязвимость в сети банкоматов, подключенных к VPN или GSM/GPRS-сетям.
Все похищенные данные передаются на удаленный сервер через FTP. IP-адрес удаленного сервера прикреплен к российскому поставщику интернет-услуг Selectel, Москва. Сервер также связан с доменным именем, принадлежащим российской компании "CISLAB".
Комментарий