Специалисты компаний Group-IB и CERT-GIB обнаружили модификацию вредоносного кода Dump Memory Grabber, который позволял похищать данные пользователей, номера их банковских счетов и кредитных карт. Российские эксперты по инфобезопасности обнаружили случаи хищения данных банковских карт крупных банков США – Chase, Capital One, Citibank и других – путем заражения вредоносным кодом компьютеров, к которым подключены платежные POS-терминалы, говорится в сообщении компании Group-IB. Специалисты компаний Group-IB и CERT-GIB обнаружили модификацию вредоносного кода Dump Memory Grabber, который позволял похищать данные пользователей, номера их банковских счетов и кредитных карт. Зловредное ПО было направлено на заражение компьютеров с подключенными к ним POS-терминалами, которые используются для платежей в торговых сетях и ресторанах. С помощью перехваченных данных злоумышленники могли обналичивать деньги, выпуская «белый пластик» — поддельные копии платежных карт, отмечают эксперты. Масштаб инцидента и возможная сумма ущерба не уточняются.
Официальный представитель Group-IB Анна Григорьева пояснила, что наибольшее количество зараженных компьютеров, управляющих POS-терминалами, находилось в США. Соответственно, на территории США произошло большинство инцидентов с кражей данных банковских карт, в основном, при расчетах в магазинах и ресторанах.
«Заражение узлов, имеющих подключенный POS-терминал, является новым трендом киберпреступного мира», — отметил Андрей Комаров, директор департамента международных проектов, аудита и консалтинга компании Group-IB.
Эксперты утверждают, что обнаружили командный центр ботнета и выявили автора вредоносного кода — предположительно, за инцидент несет ответственность хакерская группировка, участники которой находятся в России, Армении и Украине, пишут в Group-IB. Сведения о подозреваемых и список скомпрометированных карт переданы властям США, пострадавшим банкам и представителям компании Visa, выпускающей банковские карты. Карты, данные которых могли попасть в руки злоумышленников, отозваны, а в отношении зараженных терминалов продолжается расследование.
Ранее эксперт из компании McAfee Чинтан Шах (Chintan Shah) заявлял об обнаружении вредоносного ПО vSkimmer, имеющего схожие функциональные особенности с обнаруженным Group-IB кодом. В конце 2012 года израильская компания Seculert обнаружила программу Dexter, имеющую схожую систему перехвата информации.
По данным экспертов российской антивирусной компании «Лаборатория Касперского», первые атаки на платёжные терминалы с использование подобного вредоносного кода начались еще в 2010 году. На текущий момент известны три основные вредоносные программы, крадущие данные пластиковых карточек с платежных терминалов: Trojan-Spy.Win32.POS, Backdoor.Win32.Desty и Tojan-Spy.Win32.Vskim.
«Схема атаки для всех подобных программ одна и та же. Злоумышленники загружают на компьютер жертвы вредоносную программу, которая способна считывать данные с пластиковых карт и передавать их хакерам. В дальнейшем эти данные будут использоваться злоумышленниками для создания поддельных пластиковых карточек с реквизитами владельцев, прошедших через платежный терминал, подключенный к зараженному компьютеру», — сказал ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.