Bezpečnostní výskumníci objavili hrozbu, ktorá sa platobnými systémami šírila od roku 2016 a jej účelom bolo získať údaje o kreditných kartách, informoval BleepingComputer. Malvér DMSniff bol podľa odborníkov nasadený proti malým a stredne veľkým podnikom a z ich pokladníc sa snažil odcudziť údaje o kreditných kartách.

Špecialitou tohto malvéru bol práve algoritmus, ktorý generoval C&C domény na vytvorenie príkazov, vďaka ktorým mohli útočníci ovládať postihnuté zariadenia. Škodlivý kód pritom mohol podľa výskumníkov z Flashpoint začínať pri zariadeniach, v ktorých spôsobil škody útokom namiereným proti SSH pripojeniu, ktoré slúži ako bezpečné prostredie pre príkazy a protokoly na vzdialené ovládanie počítača. Malvér taktiež mohol spočiatku udrieť priamo na zraniteľné oblasti zariadení.

Masívny útok ohrozoval pokladnice celé roky

DMSniff mal pritom automaticky využívať domény najvyššej úrovne, pokým nedokázal nájsť server na riadenie a kontrolu útokov. Účelom malvéru bolo odcudzovať údaje o kreditných kartách a bolo pri ňom použitých najmenej 11 rôznych DGA algoritmov, ktoré mohli pomôcť vzniknúť až 11 rôznym verziám tohto malvéru, informuje BleepingComputer. Kód pritom využíval niekoľko spôsobov, ktorými chránil seba a C&C komunikáciu pred bezpečnostnými expertmi.

Zobraziť celú galériu (2)
Pseudokód z Pythonu pre implementáciu kódovaného reťazca. Zdroj: Flashpoint

Nenechaj si ujsť
Škodlivá aplikácia kradla údaje z internetbankingu. Pozri sa, či si ju nemal nainštalovanú aj ty

V infikovaných pokladniach dokázal DMSniff prechádzať údaje o použitých platobných kartách prostredníctvom procesov, ktoré boli zaznamenané pri platbách. Ak malvér našiel zaujímavé údaje podľa požiadaviek útočníka, mohol ich spolu s niekoľkými ďalšími dátami poslať na C&C server v jednom balíku. Týmto spôsobom dokázal kód zmiasť výskumníkov, prezradili experti z Flashpoint. Ten, kto tento malvér vytvoril, poznal aj cieľovú skupinu podnikov, ktorých pokladnice chcel infikovať.

Zobraziť celú galériu (2)
Príklad na kontrolu školidvého malvéru. Zdroj: Flashpoint

Jednalo sa najmä o menšie prevádzky, medzi ktoré patrili divadlá či reštaurácie. Práve tieto miesta navštevuje množstvo ľudí, ktorých údaje o kreditných kartách mohol DMSniff odcudziť a poslať útočníkovi. Takýto algoritmus, ktorý bol využitý v malvéri, sa však pri útokoch na pokladne nevyužíva podľa výskumníkov z Flashpoint príliš často. Spoločnosť tak všetkým podnikom, ktoré sa mohli stať obeťou útokov, odporúča, aby svoje zariadenia pravidelne kontrolovali a aktualizovali.

Pošli nám TIP na článok



Cyber