Исследователи компании Group-IB обнаружили новый троян BlackPOS, распространяющийся на POS-терминалах, которые подключаются к компьютерам кассиров через USB или COM. За последнее время эксперты сообщили об обнаружении в странах СНГ и Евросоюза семи C&C-серверов вредоносного кода, часть которых маскируется под блоги Wordpress и известные форумные движки. Вредоносное ПО попадает на системы пользователя либо инсайдерским способом непосредственно в точке продаж, либо удаленным, посредством ошибок конфигурации в сетевом периметре. Преимущественно эксплуатируются уязвимости в незащищенном способе удаленного администрирования (VNC - 60%, RDP - 30%). Троян позволяет злоумышленникам похищать данные банковских карт подобно скиммингу, но без физической близости к банкомату и процедуры последующего сбора данных. Полезная нагрузка представляет собой сканирующий модуль RAM или соответствующего порта на предмет сигнатур Track 2. Кроме того, эксперты сообщили также о нескольких вариантах обнаруженного трояна (Alina, BlackPOS, Dexter, Vskimmer). По словам Group-IB, их создателями является одна и та же преступная группировка, совершающая преступления на территории разных стран.
SecurityLab.ru