Злоумышленники использовали PunkeyPOS для кражи данных более миллиона кредитных карт

Антивирусная компания PandaLabs опубликовала результаты исследования деятельности вредоносного ПО PunkeyPOS, заражающего PoS-терминалы в ресторанах на территории США и Европы.

Образцы PunkeyPOS впервые были обнаружены в прошлом году. Новый вредонос является наследником семейства NewPOSthings, используемого для проведения атак большим количеством злоумышленников. Изначально ключевым функционалом вредоноса было обнаружения личных данных владельца карты.

В прошлом году исследователи обнаружили новый функционал у трояна. Разработчики снабдили его кейлогером, шифрующим и отправляющим все перехваченные нажатия клавиш на внешний C&C сервер.

По информации PandaLabs, троян умеет работать на всех версиях ОС Windows, а его основной задачей является перехват данных пластиковых карт, включая номера, данные на магнитной ленте карты и другую информацию.

Обнаруженный исследователями образец устанавливает кейлогер на зараженную систему и считывает данные с ОЗУ зараженной системы. PunkeyPOS проверяет похищенную информацию согласно встроенным алгоритмам и отфильтровывает мусорные данные. Затем валидная информация шифруется с помощью алгоритма AES и отправляется на внешний C&C сервер.

Ботами злоумышленники управляют через web-интерфейс. Троян оснащен встроенным механизмом обновления, а также повторного заражения систем.

Исследователи PandaLabs проанализировали более 200 PoS-терминалов, зараженных этим образом PunkeyPOS. Большинство жертв находятся на территории США.

На прошлой неделе Брайан Кребс сообщил в своем блоге о масштабной операции, направленной на заражение PoS-терминалов. По информации ИБ эксперта, с апреля текущего года злоумышленники успешно похитили платежные данные 1,2 млн кредитных карт.