Контакты
Подписка
МЕНЮ
Контакты
Подписка

Россияне создали вирус для кражи банковских данных американцев

Россияне создали вирус для кражи банковских данных американцев

Россияне создали вирус для кражи банковских данных американцев


01.04.2013



Специалисты компании Group-IB зафиксировали новую вредоносную программу, нацеленную на POS-терминалы и кражу информации платежных карт клиентов нескольких банков США. Эксперты считают, что автором вируса являются мошенники из России. Об этом представители Group-IB рассказали журналистам SecurityWeek.

Вредоносная программа Dump Memory Grabber сканирует память POS-терминалов и банкоматов на наличие данных банковских карт. Жертвами вируса уже стали клиенты нескольких крупных американских банков: Chase, Capital One, Citibank и Union Bank of California.

"Мы обнаружили один из C&C-серверов, на который вирус отправлял похищенные данные, однако зараженными оказалось множество POS-терминалов и банкоматов, поэтому мы все еще проводим расследование", - заявил руководитель международных проектов и технический директор CERT-GIB Андрей Комаров.

Dump Memory Grabber охотится за данными банковских карт, которые закодированы в магнитную ленту, в частности, номер счета, имя и фамилию клиента банка, а также срок действия карты. Эта информация позволяет злоумышленникам создать поддельные карты.

В Group-IB отмечают, что новый вирус написан на языке программирования C++ без использования дополнительных библиотек. Вирус добавляет себя в системный реестр, поэтому он будет автоматически запускаться при загрузке системы. Вредоносное ПО просматривает список процессов, запущенных на системе.

Большинство случаев заражения POS-терминалов и банкоматов, проанализированных Group-IB, происходили при помощи инсайдеров, которые на прямую занимались обслуживанием устройств. POS-терминалы под управлением Windows XP или Windows Embedded инфицировались удаленно, а в некоторых случаях злоумышленники использовали уязвимость в сети банкоматов, подключенных к VPN или GSM/GPRS-сетям.

Все похищенные данные передаются на удаленный сервер через FTP. IP-адрес удаленного сервера прикреплен к российскому поставщику интернет-услуг Selectel, расположенному в Москве. Помимо этого, сервер также связан с доменным именем, принадлежащим российской компании "CISLAB".

Исследователи предполагают, что автор Dump Memory Grabber является жителем РФ и использует псевдоним Wagner Richard. Он зарегистрирован в соцсети "ВКонтакте" под этим именем и, помимо всего прочего, принимает заказы на проведение DDoS-атак.

Group-IB предоставила полученную информацию компании Visa, пострадавшим банкам и правоохранительным органам США.

Источник:
SecurityLab.ru