Разделы

ПО Безопасность Бизнес ИТ в банках

Удачно замаскированный троян три года грабит средний и малый бизнес

Обнаруженная программа DMSniff, атакующая СМБ, обладает рядом особенностей, позволявших ей оставаться незамеченной в течение длительного времени.

Атака на СМБ

Эксперты компании Flashpoint выявили вредоносную программу, которая уже несколько лет скрытно атакует терминалы продаж малого и среднего бизнеса. Программа активна как минимум с 2016 г., но до сих пор ее никому не удавалось ни выявить, ни проанализировать.

Ключевая особеннность DMSniff заключается в том, что она использует алгоритмы автоматической генерации доменных имен для контрольных серверов «на лету».

«Такой метод очень полезен для злоумышленников, поскольку если те или иные домены нейтрализуются правоохранительными органами, технологическими компаниями или хостинг-провайдерами, вредоносная программа сохраняет возможность связываться с серверами, получать от них команды или пересылать украденные данные», — отметили исследователи.

DMSniff будет автоматически опрашивать несколько доменов верхнего уровня, пока не обнаружит функционирующий командный сервер.

haker600.jpg
Вредонос для точек продаж скрытно атакует средний и малый бизнес уже три года

Что касается первичного заражения, то, видимо, она либо производит брутфорс-атаку (подбор паролей) на SSH-соединения целевого устройства или сканирует и эксплуатирует программные уязвимости терминалов продаж (которые обычно работают под управлением адаптированных версий Windows).

Воровство с вывертом

Основное назначение DMSniff — перехват и кража данных кредитных карт. Для этого программа постоянно сканирует процессы на зараженном устройстве, а выявив нужный, начинает «парсить» системную память с целью перехватить данные карты. Собранные данные архивируются порциями и пересылаются на C&C-сервер.

DMSniff также использует простой метод кодировки строки для того, чтобы затруднить анализ со стороны экспертов по информационной безопасности.

Основными жертвами вредоноса, как уже сказано, были малые и средние предприятия, в том числе, рестораны и кинотеатры, а также их пользователи.

«В общем-то нет ничего удивительного, что этот вредонос так долго оставался незамеченным, — считает Олег Галушкин, директор по информационной безопасности компании SECConsultServices. — Он был разработан с прицелом на скрытность и атаковал как раз те сектора бизнеса, где кибербезопасность зачастую находится далеко не на верхних позициях списка приоритетов. И именно это делает средний и малый бизнес особенно привлекательным для киберпреступников».

Роман Георгиев