Исследователи безопасности компании Morphisec о новой вредоносной кампании, в ходе которой злоумышленники атакуют PoS-терминалы по всему миру с целью кражи данных банковских карт. Жертвами киберпреступников стали финансовые, страховые, медицинские и прочие организации в Индии, Японии, США и других странах.
По словам исследователей, имеющихся у них сведений недостаточно для того, чтобы с точностью определить, кто стоит за атаками. «Почерк» киберпреступников наводит на мысль о группировке FIN6, но некоторые моменты указывают на возможную связь с группировкой EmpireMonkey.
По мнению исследователей, одним из векторов атак являются файлы HTA (HTML Application), выполняющие скрипты PowerShell как часть встроенного VBScript.
Используемое злоумышленниками вредоносное ПО для похищения данных из памяти PoS-терминалов отличается от случая к случаю. В одних случаях они прибегают к инструменту FrameworkPOS, а в других – к PowerShell/WMI для загрузки ПО Cobalt Strike с расширением PowerShell непосредственно в память. Cobalt Strike позволяет атакующим получить контроль над зараженной системой и проникать в другие системы в одной с ней сети. С его помощью злоумышленники могут похищать учетные данные жертв, выполнять код и осуществлять другие вредоносные операции.