POS-зловреды и ANDROMEDA: новый симбиоз

21.07.2015 | 11:14
Эксперты Trend Micro предупреждают об интернет-кампании, нацеленной на распространение нового PoS-зловреда с помощью ботов Andromeda. Для засева последних инициаторы кампании используют спам-рассылки; после инсталляции бот по команде оператора загружает дополнительные инструменты, облегчающие удаленный контроль и инсталляцию GamaPoS на другие Windows-машины в атакуемой сети.

Известный еще с 2011 года бэкдор Andromeda (в классификации «Лаборатории Касперского» Backdoor.Win32.Androm) нередко используется для загрузки других зловредов, в частности ZeuS и Rovnix. В данном случае он раздается через спам, снабженный ссылками на эксплойт-площадки или вложенным документом с вредоносным макросом. По свидетельству Trend Micro, такие вложения обычно замаскированы под рекомендации к новому PCI DSS (стандарту безопасности платежных карт) или под обновление для ритейл-платформы MICROS, ныне поставляемой Oracle.

Обосновавшись на зараженной машине, Andromeda по команде оператора загружает копии Mimikatz и PsExec. Последний — это легитимный инструмент, обычно используемый для удаленного контроля и диагностики и потому часто помещаемый в белые списки. Удобство функционала PsExec по достоинству оценили и злоумышленники, как, впрочем, и его «белую» репутацию: по словам исследователей, PsExec использовался, например, взломщиками Target для прекращения определенных процессов и перемещения файлов. Mimikatz тоже широко известен и в модифицированном виде применяется в кибератаках с целью кражи регистрационных данных с Windows-машин. Использование PsExec и Mimikatz в процессе доставки GamaPoS помогает злоумышленникам закрепить свой успех внутри атакуемой сети.

Как оказалось, Andromeda загружает новый PoS-зловред далеко не на все ПК в пределах нового ботнета. По оценке Trend Micro, на настоящий момент его получили лишь 3,8% зараженных машин; сам GamaPoS примечателен тем, что создан с помощью фреймворка .NET — факт, необычный для PoS-зловредов. Исследователи полагают, что вирусописателей подкупила не только простота написания таких приложений, но также решение Microsoft открыть исходный код .NET Core.

При запуске GamaPoS отыскивает активный центр управления, руководствуясь заданным списком URL, и устанавливает HTTPS-соединение. Этот же адрес он впоследствии использует для отправки украденных данных Track 2 банковских карт Visa, Discover, Maestro и некоторых других, которые отфильтровывает из улова по первым цифрам последовательностей.

Как показал анализ, 85% атакованных GamaPoS организаций разного профиля размещены на территории 13 американских штатов. В текущей кампании используются 9 доменов, ассоциированных с одним и тем же IP-адресом.

Исследователи также отметили некоторое сходство нового зловреда с NitlovePOS: оба распространяются посредством спам-рассылок, использующих вредоносные макросы, хотя обычно PoS-зловред внедряется в сеть после получения удаленного доступа кражей или подбором соответствующих учетных данных. Кроме того, в обеих вредоносных кампаниях на начальном этапе задействован один и тот же блок IP-адресов.

POS, ANDROMEDA
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код