ads

Slider[Style1]

Style2

Style3[OneLeft]

Style3[OneRight]

Style4

Style5

HOME THEATER

Компания iSight Partners опубликовала исследование нового типа троянцев, разработанных для похищения данных из платёжных систем.
Они получили название ModPOS, так как были нацелены на работу с терминалами крупных ритейлеров. Долгое время их не удавалось обнаружить ни одним антивирусом, а наиболее явно их активность проявлялась во время распродаж.

Исследование показало, что первые случае заражения ModPOS произошли ещё в 2012 году. Его отдельные компоненты попадали в поле зрения вирусных аналитиков с 2013 года. Тогда они не привлекли особого внимания, поскольку растворялись в общем потоке. Каждый месяц антивирусные сети ведущих компаний собирают от сотен тысяч до десятков миллионов образцов вредоносного ПО, большая часть которых обрабатывается автоматически.

Изощрённые методы обфускации кода и противодействия отладке в ModPOS затруднили его изучение в виртуальной машине. Вирусным аналитикам потребовалось выполнить множество ручных операций, чтобы восстановить исходный код и провести детальное изучение.

ModPOS — история противостояния (изображение: isightpartners.com).

«Обычно реверс-инжиниринг вредоносных программ занимает от силы минут двадцать. В случае с ModPOS нам потребовалось около трёх недель только на то, чтобы подтвердить его вредоносный характер. Ещё столько же времени мы восстанавливали его структуру и пытались понять механизмы работы. Это самая сложная угроза, с которой мы когда-либо сталкивались», – пояснила старший аналитик iSight Мария Нобоа.

Авторы ModPOS показали очень высокий уровень компетенции в разработке вредоносного программного обеспечения. Только один фрагмент шелл-кода содержал свыше шестисот функций. Они создали исключительно функциональный модульный троян с особым акцентом на обфускацию его кода, заметание следов, работы, сокрытие текущей активности и гарантированное восстановление в случае удаления отдельных компонентов.

«Фактически это не отдельный троянец, а целый фреймворк – сложная платформа, состоящая из множества модулей и плагинов. Вместе они собирают подробную информацию о целевой компании, включая всю информацию об оплатах непосредственно из систем продаж и персональные учетные данные руководителей», – прокомментировала Нобоа.

ModPOS существенно расширяет методики кражи данных с банковских карт, в которых традиционно использовались скиммеры (накладки на клавиатуру банкомата и миниатюрные камеры), а также шиммеры (сверхтонкие скиммеры, вставляемые непосредственно в картоприёмник). Троянец ModPOS реконфигурирутся с учётом особенностей конкретной заражаемой системы. Из-за этого хеши модулей трояна всё время оказываются разными, как и автоматически создаваемые сигнатуры.

На протяжении минимум трёх лет ему удавалось обмануть не только сигнатурные сканеры, но и эвристические анализаторы, а также средства поведенческого анализа, поскольку он работал на самом низком уровне.

Схема работы ModPOS (изображение: iSIGHT Partners).

Действуя как руткит уровня ядра, он внедряет собственные драйверы, которые перехватывают системные функции и используют шифрование, чтобы затруднить анализ кода и скрыть свои реальные действия. Среди модулей ModPOS есть кейлоггер, сниффер и загрузчик новых компонентов.

Аналитики iSight особо подчёркивают, что использование EMV (международного стандарта операций для банковских карт с чипом) само по себе не защищает от ModPOS. Троян обладает функцией прямого копирования данных из оперативной памяти банкоматов и платёжных терминалов. Он может даже имитировать транзакции уже после удаления карты. Иммунитетом к ModPOS обладают только платёжные системы, в которых настроено сквозное шифрование от терминала до центра обработки.

Ситуация осложняется ещё и тем, что во многих местах установлены старые терминалы, работающие в режиме совместимости. Они игнорируют чип и просто считывают данные с магнитной полосы, как это делали до внедрения EMV.

Анализ кода позволяет предположить, что ModPOS предназначался в первую очередь для заражения платёжных систем американских ритейлеров. Также в коде были найдены команды взаимодействия с сетевыми узлами, чьи IP-адреса относятся к Восточной Европе.


Партнеры iSight уже проинформировали организации, которые могут использовать протрояненные платежными системами. Эксперты компании активно работают с центром противодействия угрозам R-CISC, чтобы помочь быстрее обнаружить и удалить вредоносную программу.
автор: Андрей Васильков
Computerra.ru
Posted by Canadian Agency NEWS
link to the Evening Star is required

About Valery Rubin

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.
«
Next
Следующее
»
Previous
Предыдущее

Top