Судя по всему, вредоносное ПО еще не вышло из стадии разработки.
Исследователи Trend Micro обнаружили новый образец вредоносного ПО для PoS-систем. Как сообщают эксперты в блоге компании, PoS-троян, получивший название Poslogr, использует сразу несколько компонентов для похищения данных платежных карт. Это делает его похожим на BlackPOS – вредоноса, использовавшегося при взломе Target в декабре 2013 года.
Poslogr считывает из памяти PoS-терминала информацию, связанную с определенными процессами, и таким образом сохраняет платежные данные жертвы. До передачи информации на серверы злоумышленников файлы находятся в накопителе PoS-терминала под именами rep.bin и rep.tmp.
Список процессов, из которых должна считываться информация, хранится в отдельном .ini-файле. Тем не менее, исследователям не удалось обнаружить такой файл на зараженных устройствах, поэтому точный список затрагиваемых процессов пока остается неизвестным. Там же находятся переменные, определяющие промежуток времени между повторными сканированиями памяти.
Эксперты считают, что троян до сих пор находится в стадии разработки или бета-тестирования. Так, в коде вредоноса была обнаружена отладочная информация, и он пока не соединяется с C&C-серверами и не передает им информацию. Поскольку Poslogr считается многокомпонентным PoS-трояном, исследователи предполагают, что передача данных будет осуществляться с помощью отдельного модуля.
В настоящее время вредонос распространяется с помощью drive-by загрузки и троянов-дропперов.
Храним важное в надежном месте