Российский вирус похищает банковские данные американцев


Group-IBСпециалистами компании Group-IB была обнаружена новая вредоносная программа, нацеленная на POS-терминалы и кражу информации с платежных карт клиентов банков США. По предварительным исследованиям удалось установить, что автором вируса являются мошенники из России.

Вредоносная программа, получившая наименование Dump Memory Grabber, сканирует память POS-терминалов и банкоматов на наличие данных банковских карт. В результате жертвами вируса уже стали клиенты следующих американских банков:

  • Chase;
  • Capital One;
  • Citibank;
  • Union Bank of California.


Также специалисты обнаружили один из C&C-серверов, на который отправлялись похищенные данные, а также множество зараженных POS-терминалов и банкоматов.

Dump Memory Grabber охотится за данными банковских карт, закодированных в магнитную ленту, в частности, номер счета, имя и фамилию клиента банка, а также срок действия карты. По этой информации злоумышленникам создают поддельные карты.

Вредонос написан на языке программирования C++ без использования дополнительных библиотек. Для запуска в автоматическом режиме при загрузке системы, он прописывает себя в системный реестр. Вредоносное ПО просматривает список процессов, запущенных на системе.

В ходе исследования также удалось выяснить, что большинство случаев заражения POS-терминалов и банкоматов происходили при помощи инсайдеров, которые напрямую занимаются обслуживанием устройств. POS-терминалы под управлением Windows XP или Windows Embedded инфицировались удаленно, а в некоторых случаях злоумышленники использовали уязвимость в сети банкоматов, подключенных к VPN или GSM/GPRS-сетям.

Все похищенные данные передаются на удаленный сервер через FTP. IP-адрес удаленного сервера прикреплен к российскому поставщику интернет-услуг Selectel, Москва. Сервер также связан с доменным именем, принадлежащим российской компании "CISLAB".


Обновлено (01.04.2013 16:36)