Новости

3
апреля
2013 год

Россияне создали вирус для кражи банковских данных американцев

Вредоносное ПО инфицировало POS-терминалы и банкоматы крупнейших банков США.

Специалисты компании Group-IB зафиксировали новую вредоносную программу, нацеленную на POS-терминалы и кражу информации платежных карт клиентов нескольких банков США. Эксперты считают, что автором вируса являются мошенники из России. <br />
<br />
Вредоносная программа Dump Memory Grabber сканирует память POS-терминалов и банкоматов на наличие данных банковских карт. Жертвами вируса уже стали клиенты нескольких крупных американских банков: Chase, Capital One, Citibank и Uni on Bank of California.<br />
<br />
«Мы обнаружили один из C&C-серверов, на который вирус отправлял похищенные данные, однако зараженными оказалось множество POS-терминалов и банкоматов, поэтому мы все еще проводим расследование», - заявил руководитель международных проектов и технический директор CERT-GIB Андрей Комаров.<br />
<br />
Dump Memory Grabber охотится за данными банковских карт, которые закодированы в магнитную ленту, в частности, номер счета, имя и фамилию клиента банка, а также срок действия карты. Эта информация позволяет злоумышленникам создать поддельные карты.<br />
<br />
Новый вирус написан на языке программирования C++ без использования дополнительных библиотек. Вирус добавляет себя в системный реестр, поэтому он будет автоматически запускаться при загрузке системы. Вредоносное ПО просматривает список процессов, запущенных на системе.<br />
<br />
Большинство случаев заражения POS-терминалов и банкоматов, проанализированных Group-IB, происходили при помощи инсайдеров, которые на прямую занимались обслуживанием устройств. POS-терминалы под управлением Windows XP или Windows Embedded инфицировались удаленно, а в некоторых случаях злоумышленники использовали уязвимость в сети банкоматов, подключенных к VPN или GSM/GPRS-сетям.<br />
<br />
Все похищенные данные передаются на удаленный сервер через FTP. IP-адрес удаленного сервера прикреплен к российскому поставщику интернет-услуг Sel ectel, расположенному в Москве. Помимо этого, сервер также связан с доменным именем, принадлежащим российской компании «CISLAB».<br />
<br />
Исследователи предполагают, что автор Dump Memory Grabber является жителем РФ и использует псевдоним Wagner Richard. Он зарегистрирован в соцсети «ВКонтакте» под этим именем и, помимо всего прочего, принимает заказы на проведение DDoS-атак.<br />
<br />
Group-IB предоставила полученную информацию компании Visa, пострадавшим банкам и правоохранительным органам США.

Вернуться к списку новостей

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС