Як «PunkeyPOS» краде інформацію з банківських карт



Антивірусна лабораторія PandaLabs компанії Panda Security з травня здійснює ретельне дослідження POS-терміналів в ресторанах США, в рамках якого був виявлений так званий PunkeyPOS – варіант шкідливої програми, яка здатна отримувати доступ до даних банківських карт. PandaLabs надала цю інформацію в розпорядженні американських правоохоронних органів, щоб вони могли вжити відповідних заходів. Давайте подивимося, що це таке і як це працює.

PunkeyPOS працює у всіх версіях операційної системи Windows. План кібер-злочинців: встановити шкідливу програму на POS-термінали, щоб здійснювати крадіжку такий критично важливої інформації, як номери рахунків, утримання магнітної смуги на банківських картах і т. д.

PunkeyPOS здається простим:
Він встановлює кейлоггер, який здійснює моніторинг натискання клавіш, потім він встановлює RAM-scraper, який відповідає за читання пам'яті всіх процесів, запущених в системі.

Грунтуючись на перехопленої інформації, шкідлива програма виконує ряд операцій, що дозволяють встановити, що є актуальним, а що ні. Що стосується натискання клавіш, то PunkeyPOS ігнорує будь-яку інформацію, яка не відноситься до даних банківської карти. В основному, інтерес викликає tracks1/2 з пам'яті процесів, одержуваний від RAM-scraper. POS-термінали зчитують цю інформацію з магнітних смуг банківських карт, так що злочинці можуть використовувати ці дані, щоб пізніше клонувати карти.

Після того, як відповідна інформація була отримана, вона шифрується і передається на віддалений веб-сервер, який також є сервером управління та контролю (C&C). Щоб запобігти виявлення інформації про карткою у випадку, якщо хто-то сканує трафік, вона шифрується до моменту відправлення з допомогою алгоритму AES.

Адреса сервера управління та контролю (C&C) можна легко отримати на основі зразка даної шкідливої програми шляхом зворотного інжинірингу або аналізу їх комунікацій. Нижче представлена головна сторінка панелі управління, для доступу до неї потрібно логін та пароль:



Йдемо по слідах до Digital Pickpocketers

Автори даної атаки були дуже обережні. Оскільки сервер не був налаштований правильно, PandaLabs смогу отримати доступ до нього без реєстраційних даних.

В результаті PandaLabs змогла побачити, яким чином PunkeyPOS передає викрадену інформацію. Крім того, що панель управління надає можливість доступу до вкраденої інформації, кібер-злочинці через дану панель можуть повторно заразити або оновити поточних клієнтів (POS-ботів).



Версія аналізованого зразка PunkeyPOS: «2016-04-01». Якщо ми порівняємо цей зразок з більш ранніми версіями, деякі з яких відносяться до 2014 року, ми навряд чи зможемо побачити яку-небудь різницю в тому, як вона працює:

krebsonsecurity.com/2016/06/slicing-into-a-point-of-sale-botnet
www.trustwave.com/Resources/SpiderLabs-Blog/New-POS-Malware-Emerges—Punkey/


PandaLabs зуміла отримати доступ до консолі керування PunkeyPOS, і встановити місце приблизно 200 POS-терміналів, які були заражені цим варіантом шкідливої програми. Ми можемо побачити, що практично всі жертви розташовані в США:



Враховуючи, як легко можна продати цю інформацію на «чорному» ринку, і наскільки зручно заражати ці POS-термінали анонімно через Інтернет, впевнені, що кібер-злочинці будуть все частіше звертатися до цих терміналів.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.