ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Россияне создали вирус для кражи банковских данных американцев

Вирус для кражи банковских данных

Вредоносное ПО инфицировало POS-терминалы и банкоматы крупнейших банков США.

Специалисты компании Group-IB зафиксировали новую вредоносную программу, нацеленную на POS-терминалы и кражу информации платежных карт клиентов нескольких банков США. Эксперты считают, что автором вируса являются мошенники из России. Об этом представители Group-IB рассказали журналистам SecurityWeek.

Вредоносная программа Dump Memory Grabber сканирует память POS-терминалов и банкоматов на наличие данных банковских карт. Жертвами вируса уже стали клиенты нескольких крупных американских банков: Chase, Capital One, Citibank и Union Bank of California.

"Мы обнаружили один из C&C-серверов, на который вирус отправлял похищенные данные, однако зараженными оказалось множество POS-терминалов и банкоматов, поэтому мы все еще проводим расследование", – заявил руководитель международных проектов и технический директор CERT-GIB Андрей Комаров.

Dump Memory Grabber охотится за данными банковских карт, которые закодированы в магнитную ленту, в частности, номер счета, имя и фамилию клиента банка, а также срок действия карты. Эта информация позволяет злоумышленникам создать поддельные карты.

В Group-IB отмечают, что новый вирус написан на языке программирования C++ без использования дополнительных библиотек. Вирус добавляет себя в системный реестр, поэтому он будет автоматически запускаться при загрузке системы. Вредоносное ПО просматривает список процессов, запущенных на системе.

Большинство случаев заражения POS-терминалов и банкоматов, проанализированных Group-IB, происходили при помощи инсайдеров, которые на прямую занимались обслуживанием устройств. POS-терминалы под управлением Windows XP или Windows Embedded инфицировались удаленно, а в некоторых случаях злоумышленники использовали уязвимость в сети банкоматов, подключенных к VPN или GSM/GPRS-сетям.

Все похищенные данные передаются на удаленный сервер через FTP. IP-адрес удаленного сервера прикреплен к российскому поставщику интернет-услуг Selectel, расположенному в Москве. Помимо этого, сервер также связан с доменным именем, принадлежащим российской компании CISLAB.

Исследователи предполагают, что автор Dump Memory Grabber является жителем РФ и использует псевдоним Wagner Richard. Он зарегистрирован в соцсети "ВКонтакте" под этим именем и, помимо всего прочего, принимает заказы на проведение DDoS-атак.


Security Lab (02.04.2013 в 11:14) | вверх страницы | к списку новостей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2013 ООО "Ди Эй Кей продакшн"