Троян NitlovePoS атакует PoS-терминалы


FireEyeСпециалисты из компании FireEye зафиксировали спам-кампанию, в ходе которой злоумышленники используют новый образец вредоносного ПО для PoS-терминалов, C&C-сервер которого расположен в Санкт-Петербурге. В рамках данной кампании киберпреступники рассылают электронные письма, к которым прикрепляется фальшивое резюме, содержащее вредоносный макрос. Именно через этот файл и происходит инфицирование устройств.

NitlovePoS - троянская программа, предназначенная для хищения платежной информации с терминалов оплаты, работающих на базе ОС Microsoft Windows.

Распространяется троян посредством рассылки злоумышленником электронных сообщений с прикрепленным к ним вложением в виде файла Microsoft Word. А чтобы заинтересовать потенциальную жертву, в заголовке письма указывают тему:

  • "My Resume" ("Мое резюме");
  • "Any Openings?" ("Свободные вакансии?") и т.д.


На самом деле документ содержит вредоносный макрос, который осуществляет загрузку трояна NitlovePoS. После открытия файла пользователь видит просьбу об активации макроса. При этом макрос необходимо активировать вручную. А для пущей убедительности вирусописатели указали, что "он надежно защищен".

После инфицирования компьютера жертвы, троянская программа изменяет настройки таким образом, чтобы загрузка NitlovePoS осуществлялась после каждого перезапуска системы. Затем вредонос каждые пять минут проверяет оперативную память на наличие платежных данных. Вся обнаруженная информация немедленно отправляется на C&C-сервер злоумышленников по SSL-соединению. При этом установлено, что C&C-сервер данного вредоносного ПО расположен в Санкт-Петербурге.


Обновлено (31.05.2015 23:34)