PoS-троян DMSniff активно атакует компании в гостиничной и развлекательной сферах

1

PoS-троян DMSniff активно атакует компании в гостиничной и развлекательной сферах

Троян активен с 2016 года, но в массовых атаках используется впервые.


Специалисты компании Flashpoint выявили вредоносную кампанию, целью которой являлось заражение PoS-терминалов заведений гостинично-ресторанного бизнеса и сферы развлечений вредоносным ПО DMSniff, предназначенным для кражи данных кредитных карт посетителей.

Предположительно, PoS-троян DMSNiff активен еще с 2016 года, но до настоящего времени оставался незамеченным экспертами в области кибербезопасности.

Основным отличием трояна DMSniff от другого вредоносного ПО для PoS-терминалов является то, как он использует алгоритм генерации доменов DGA (Domain Generation Algorithm) для создания управляющих доменов «на лету», что позволяет противостоять отключению доменов и обходить простые механизмы блокировки. Другими словами, если правоохранительные органы или хостинг-провайдеры отключат домены, вредоносное ПО по-прежнему сможет передавать данные с скомпрометированного PoS-терминала на подконтрольный злоумышленникам сервер.

В общей сложности эксперты обнаружили 11 вариантов DGA-алгоритма. Использование подобных техник, что редко встречается в атаках на PoS-терминалы, может указывать на причастность к кампании профессиональной киберпреступной группировки.

Специалисты предполагают несколько способов заражения PoS-терминалов вредоносным ПО DMSniff: либо злоумышленники применили брутфорс-атаки, либо нашли уязвимости, позволяющие заразить систему, или же физически взломали устройства. Украденная информация отправляется на C&C-сервер злоумышленников, которые затем продают данные на подпольных форумах или используют их для совершения покупок.

Эксперты Flashpoint не раскрыли названия пострадавших компаний, по их словам, атаки все еще продолжаются.