Cherry Picker оставался необнаруженным в течение четырех лет.
Как сообщает издание SecurityWeek со ссылкой на отчет компании Trustwave, исследователи обнаружили вредоносное ПО для PoS-терминалов, которое оставалось необнаруженным по крайней мере в течение четырех лет. Вредонос, который исследователи назвали Cherry Picker, обходил обнаружение благодаря сложной технике.
Эксперты Trustwave впервые зафиксировали Cherry Picker в 2011 году. Проанализировав несколько образцов, исследователи обнаружили, что они были разработаны для внедрения процессов для управления данными платежных карт. Один образец кода состоял из двух компонентов – интерфейса командной строки sr.exe и кода searcher.dll, который внедряется непосредственно в процессы bysr.exe.
«Использование конфигурационных файлов, шифрования, техник обфускации и аргументов командной строки позволяло Cherry Picker долгое время обходить обнаружение многими ИБ-компаниями и антивирусными решениями. Благодаря новым методам синтаксического анализа памяти и поиска CHD, сложному файловому вирусу и таргетированной программе для очистки это семейство вредоносов оставалось незамеченным сообществом безопасности», - говорится в отчете Trustwave.
По данным экспертов, Cherry Picker оснащен специальным модулем для очистки, который удаляет все следы вредоносного ПО. Его последняя версия использует набор API под названием QueryWorkingSet для сбора данных платежных карт, которые записываются в файл и отправляются на командно-контрольный сервер.
«После того, как данные были собраны, начинается процесс очистки. Разработчики вредоноса создали таргетированный инструмент для очистки, который возвращает инфицированную систему в первоначальный вид. Вредоносное ПО базируется на популярной программе для удаленного контроля TeamViewer для переписывания и удаления файлов и записей в реестре», - сообщают исследователи.От классики до авангарда — наука во всех жанрах