POS-зловред DMSniff атакует кинотеатры и рестораны

[RedruMZ]

Специалисты компании Flashpoint опубликовали отчет с анализом работы зловреда DMSniff, который используется в атаках на POS-терминалы по меньшей мере с 2016 года. Программа похищает сведения о банковских картах, обрабатываемых точкой продаж, и применяет алгоритм автоматической генерации доменов (DGA), чтобы избежать блокировки C&C-серверов. По информации экспертов, целью злоумышленников в первую очередь являются компании в сегментах малого и среднего бизнеса.
Исследователи считают, что вредоносный скрипт проникает на POS-терминал при помощи брутфорс-атаки или через эксплуатацию уязвимостей в системном ПО. Попав на устройство, DMSniff запускает алгоритм создания псевдослучайных доменных имен, чтобы скрыть канал обмена данных с командным сервером. В случае блокировки одного из адресов зловред автоматически генерирует новый и продолжает работу с центром управления. Дополнительно программа перебирает несколько доменов верхнего уровня, чтобы найти доступный в данный момент хост.
Закрепившись на POS-терминале, зловред проводит мониторинг активных процессов в поиске задач, связанных с обработкой банковских карт. Обнаружив нужные сведения, DMSniff передает их в центр управления вместе с содержимым соседних ячеек памяти. Программа кодирует пакеты данных, чтобы затруднить обнаружение вредоносной активности.
За последние четыре года специалисты зафиксировали 11 вариантов DMSniff в кампаниях, направленных на рестораны, кинотеатры и другие организации из сферы развлечений.
Использование DGA несвойственно PoS-зловредам, его обычно применяют многофункциональные боты для маскировки своих C&C-серверов. Одним из первых вредоносных штаммов с алгоритмом генерации доменов считается червь Conficker, чей пик активности пришелся на 2008 год. Несмотря на то что распространение зловреда удалось взять под контроль, сведения о его атаках поступали вплоть до 2016-го.