Специалисты компании Flashpoint выявили вредоносную кампанию, целью которой являлось заражение PoS-терминалов заведений гостинично-ресторанного бизнеса и сферы развлечений вредоносным ПО DMSniff, предназначенным для кражи данных кредитных карт посетителей.
Предположительно, PoS-троян DMSNiff активен еще с 2016 года, но до настоящего времени оставался незамеченным экспертами в области кибербезопасности.
Основным отличием трояна DMSniff от другого вредоносного ПО для PoS-терминалов является то, как он использует алгоритм генерации доменов DGA (Domain Generation Algorithm) для создания управляющих доменов «на лету», что позволяет противостоять отключению доменов и обходить простые механизмы блокировки. Другими словами, если правоохранительные органы или хостинг-провайдеры отключат домены, вредоносное ПО по-прежнему сможет передавать данные с скомпрометированного PoS-терминала на подконтрольный злоумышленникам сервер.
В общей сложности эксперты обнаружили 11 вариантов DGA-алгоритма. Использование подобных техник, что редко встречается в атаках на PoS-терминалы, может указывать на причастность к кампании профессиональной киберпреступной группировки.
Специалисты предполагают несколько способов заражения PoS-терминалов вредоносным ПО DMSniff: либо злоумышленники применили брутфорс-атаки, либо нашли уязвимости, позволяющие заразить систему, или же физически взломали устройства. Украденная информация отправляется на C&C-сервер злоумышленников, которые затем продают данные на подпольных форумах или используют их для совершения покупок.
Эксперты Flashpoint не раскрыли названия пострадавших компаний, по их словам, атаки все еще продолжаются.