Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Кибергруппа FIN6 атакует PoS-терминалы в Европе и США

Кибергруппа FIN6 атакует PoS-терминалы в Европе и США


06.09.2018

Кибергруппа FIN6 атакует PoS-терминалы в Европе и США

Эксперты подразделения IBM X-Force IRIS зафиксировали новую вредоносную кампанию, направленную на PoS-терминалы в США и Европе. Организатором атак является хакерская группировка FIN6, промышляющая кражами данных платежных карт для последующей продажи на подпольных форумах.

 Впервые о группировке стало известно в 2016 году, когда хакеры атаковали PoS-терминалы ритейлеров и компаний в сфере здравоохранения. Злоумышленникам удалось похитить данные более 10 млн платежных карт, которые затем были выставлены на продажу на одном из подпольных рынков. В ходе кампании преступники использовали бэкдор Grabnew для сбора учетных данных, ряд публично доступных инструментов, а также вредоносное ПО Trinity (оно же FrameworkPOS) для извлечения информации из памяти PoS-терминалов. Затем данные сжимались в .ZIP архив и отправлялись на подконтрольный хакерам сервер.

 В новой кампании участники FIN6 действуют аналогичным способом, однако помимо Grabnew и Trinity, в атаках используются фреймворк Metasploit и программа WMIC (Windows Management Instrumentation Command) для "автоматизации удаленного выполнения скриптов и команд PowerShell".

 По словам исследователей, применяемый хакерами инструментарий достаточно прост и доступен в интренете. Основной интерес представляет способность злоумышленников незаметно обходить средства защиты систем. FIN6 обфусцирует команды PowerShell с помощью base64-кодирования и утилиты gzip, генерирует рандомные имена служб в журнале событий Windows, а также динимически генерирует имена файлов на диске. Кроме того, группировка использует определенные параметры PowerShell для обхода антивирусов и создает файл winhlp.dat для маскировки вредоносного скрипта PowerShell, предназначенного для внедрения FrameworkPOS в процесс lsass.exe.

 В настоящее время число предприятий и организаций, пострадавших от данной кампании, неизвестно.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.