Следующая новость
Предыдущая новость

PoS-малварь DMSniff атакует малый и средний бизнес с 2016 года

14.03.2019 22:34
PoS-малварь DMSniff атакует малый и средний бизнес с 2016 года

Рекомендуем почитать:

Xakep #239. Вскрыть и изучить

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты Flashpoint обнаружили PoS-малварь, которая атакует малый и средний бизнес (преимущественно рестораны, кинотеатры и другие объекты индустрии развлечений и гостиничного бизнеса) с 2016 года и использует DGA для связи со своими управляющими серверами.

PoS-малварь DMSniff атакует малый и средний бизнес с 2016 года

По мнению исследователей, исходное заражение вредоносом, ворующим банковские карты, происходит через обычный брутфорс SSH или путем поиска известных уязвимостей и их эксплуатации.

Основной отличительной чертой DMSniff является использование механизма DGA (Domain Generation Algorithm), что довольно редко встречается у PoS-малвари. DGA – это алгоритм, который генерирует рендомные доменные имена, к которым вредонос будет обращаться. И только оператор малвари, сконфигурировавший DGA, будет знать, как именно это работает, и сможет прогнозировать, какой домен станет следующим. Так как DGA позволяет преступникам регулярно менять дислокацию управляющего сервера, бороться с такими вредоносами весьма сложно.

PoS-малварь DMSniff атакует малый и средний бизнес с 2016 года

Эксперты поясняют, что даже если некоторые домены преступников были выведены из строя правоохранительными органами или хостинг-провайдерами, это практически не мешает работе вредоноса, который все равно может «общаться» с управляющими серверами.

В общей сложности исследователям удалось выявить 11 вариаций DGA, что свидетельствует о том, что за последние четыре года преступники создали как минимум 11 вариаций своей малвари. При этом не похоже, что злоумышленники нацелены на какой-то конкретный регион или страну, так как заражения были обнаружены по всему миру.

К отчету экспертов Flashpoint приложен отдельный файл с индикаторами компрометации. Исследователи пишут, что все собранные данные уже были переданы представителям правоохранительных органов.

Источник

Последние новости