Специалисты подразделения IBM X-Force IRIS зафиксировали новую вредоносную кампанию, направленную на POS-терминалы в Европе, а также в США. Организатором атак является хакерская группировка FIN6, промышляющая кражами данных платежных карт для последующей продажи на подпольных форумах.

Впервые о группировке стало известно в 2016 году, когда хакеры атаковали POS-терминалы ритейлеров и компаний в сфере здравоохранения. Злоумышленникам удалось похитить данные более 10 млн платежных карт, которые затем были выставлены на продажу на одном из подпольных рынков. В ходе кампании преступники использовали бэкдор Grabnew для сбора учетных данных, ряд публично доступных инструментов, а также вредоносное ПО Trinity (оно же FrameworkPOS) для извлечения информации из памяти POS-терминалов. Затем данные сжимались в .ZIP архив и отправлялись на подконтрольный хакерам сервер.

В новой кампании участники FIN6 действуют аналогичным способом. Однако помимо Grabnew и Trinity, в атаках используются фреймворк Metasploit и программа WMIC (Windows Management Instrumentation Command) для «автоматизации удаленного выполнения скриптов и команд PowerShell».

По словам исследователей, применяемый хакерами инструментарий достаточно прост и доступен в интернете. Основной интерес представляет способность злоумышленников незаметно обходить средства защиты систем.

В настоящее время число предприятий и организаций, пострадавших от данной кампании, неизвестно.

Источник: psm7.com