ModPOS – новый метод краж к буму распродаж

Компания iSight Partners опубликовала исследование нового типа троянцев, разработанных для похищения данных из платёжных систем. Они получили название ModPOS, так как были нацелены на работу с терминалами крупных ритейлеров. Долгое время их не удавалось обнаружить ни одним антивирусом, а наиболее явно их активность проявлялась во время распродаж.

Исследование показало, что первые случае заражения ModPOS произошли ещё в 2012 году. Его отдельные компоненты попадали в поле зрения вирусных аналитиков с 2013 года. Тогда они не привлекли особого внимания, поскольку растворялись в общем потоке. Каждый месяц антивирусные сети ведущих компаний собирают от сотен тысяч до десятков миллионов образцов вредоносного ПО, большая часть которых обрабатывается автоматически. Изощрённые методы обфускации кода и противодействия отладке в ModPOS затруднили его изучение в виртуальной машине. Вирусным аналитикам потребовалось выполнить множество ручных операций, чтобы восстановить исходный код и провести детальное изучение.

ModPOS - история противостояния (изображение: isightpartners.com).
ModPOS — история противостояния (изображение: isightpartners.com).

«Обычно реверс-инжиниринг вредоносных программ занимает от силы минут двадцать. В случае с ModPOS нам потребовалось около трёх недель только на то, чтобы подтвердить его вредоносный характер. Ещё столько же времени мы восстанавливали его структуру и пытались понять механизмы работы. Это самая сложная угроза, с которой мы когда-либо сталкивались», – пояснила старший аналитик iSight Мария Нобоа.

Авторы ModPOS показали очень высокий уровень компетенции в разработке вредоносного программного обеспечения. Только один фрагмент шелл-кода содержал свыше шестисот функций. Они создали исключительно функциональный модульный троян с особым акцентом на обфускацию его кода, заметание следов, работы, сокрытие текущей активности и гарантированное восстановление в случае удаления отдельных компонентов.

«Фактически это не отдельный троянец, а целый фреймворк – сложная платформа, состоящая из множества модулей и плагинов. Вместе они собирают подробную информацию о целевой компании, включая всю информацию об оплатах непосредственно из систем продаж и персональные учетные данные руководителей», – прокомментировала Нобоа.

ModPOS существенно расширяет методики кражи данных с банковских карт, в которых традиционно использовались скиммеры (накладки на клавиатуру банкомата и миниатюрные камеры), а также шиммеры (сверхтонкие скиммеры, вставляемые непосредственно в картоприёмник). Троянец ModPOS реконфигурирутся с учётом особенностей конкретной заражаемой системы. Из-за этого хеши модулей трояна всё время оказываются разными, как и автоматически создаваемые сигнатуры. На протяжении минимум трёх лет ему удавалось обмануть не только сигнатурные сканеры, но и эвристические анализаторы, а также средства поведенческого анализа, поскольку он работал на самом низком уровне.

Схема работы ModPOS (изображение: iSIGHT Partners).
Схема работы ModPOS (изображение: iSIGHT Partners).

Действуя как руткит уровня ядра, он внедряет собственные драйверы, которые перехватывают системные функции и используют шифрование, чтобы затруднить анализ кода и скрыть свои реальные действия. Среди модулей ModPOS есть кейлоггер, сниффер и загрузчик новых компонентов.

Аналитики iSight особо подчёркивают, что использование EMV (международного стандарта операций для банковских карт с чипом) само по себе не защищает от ModPOS. Троян обладает функцией прямого копирования данных из оперативной памяти банкоматов и платёжных терминалов. Он может даже имитировать транзакции уже после удаления карты. Иммунитетом к ModPOS обладают только платёжные системы, в которых настроено сквозное шифрование от терминала до центра обработки.

Ситуация осложняется ещё и тем, что во многих местах установлены старые терминалы, работающие в режиме совместимости. Они игнорируют чип и просто считывают данные с магнитной полосы, как это делали до внедрения EMV.

Анализ кода позволяет предположить, что ModPOS предназначался в первую очередь для заражения платёжных систем американских ритейлеров. Также в коде были найдены команды взаимодействия с сетевыми узлами, чьи IP-адреса относятся к Восточной Европе.

Партнеры iSight уже проинформировали организации, которые могут использовать протрояненные платежными системами. Эксперты компании активно работают с центром противодействия угрозам R-CISC, чтобы помочь быстрее обнаружить и удалить вредоносную программу.

Что будем искать? Например,ChatGPT

Мы в социальных сетях