Кибергруппа FIN6 атакует PoS-терминалы в Европе и США

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.575
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Группировка промышляет кражами данных платежных карт для последующей продажи на подпольных форумах.

Эксперты подразделения IBM X-Force IRIS зафиксировали новую вредоносную кампанию, направленную на PoS-терминалы в США и Европе. Организатором атак является хакерская группировка FIN6, промышляющая кражами данных платежных карт для последующей продажи на подпольных форумах.

Впервые о группировке стало известно в 2016 году, когда хакеры атаковали PoS-терминалы ритейлеров и компаний в сфере здравоохранения. Злоумышленникам удалось похитить данные более 10 млн платежных карт, которые затем были выставлены на продажу на одном из подпольных рынков. В ходе кампании преступники использовали бэкдор Grabnew для сбора учетных данных, ряд публично доступных инструментов, а также вредоносное ПО Trinity (оно же FrameworkPOS) для извлечения информации из памяти PoS-терминалов. Затем данные сжимались в .ZIP архив и отправлялись на подконтрольный хакерам сервер.

В новой кампании участники FIN6 действуют аналогичным способом, однако помимо Grabnew и Trinity, в атаках используются фреймворк Metasploit и программа WMIC (Windows Management Instrumentation Command) для «автоматизации удаленного выполнения скриптов и команд PowerShell».

По словам исследователей, применяемый хакерами инструментарий достаточно прост и доступен в интренете. Основной интерес представляет способность злоумышленников незаметно обходить средства защиты систем. FIN6 обфусцирует команды PowerShell с помощью base64-кодирования и утилиты gzip, генерирует рандомные имена служб в журнале событий Windows, а также динимически генерирует имена файлов на диске. Кроме того, группировка использует определенные параметры PowerShell для обхода антивирусов и создает файл winhlp.dat для маскировки вредоносного скрипта PowerShell, предназначенного для внедрения FrameworkPOS в процесс lsass.exe.

В настоящее время число предприятий и организаций, пострадавших от данной кампании, неизвестно.
 
Сверху Снизу