Вредоносная кампания Operation Black Atlas направлена на PoS-терминалы


Operation Black AtlasВ начале декабря 2015 года компанией Trend Micro была выявлена новая вредоносная кампания по хищению данных платежных карт через PoS-терминалы. Кампания получила название Operation Black Atlas. Эксперты изучили ситуацию и установили, что в распоряжении злоумышленников находится "мощный, адаптивный, невидимый ботнет" для поиска PoS-систем внутри сетей.

В качестве основного вредоносного ПО злоумышленники используют BlackPOS (Kaptoxa). Однако, хакерами также применяются:

  • различные инструменты для поиска уязвимостей;
  • словари для брутфорса;
  • SMTP-сканеры;
  • программы для удаленного просмотра рабочего стола.


Злоумышленники проверяют на наличие доступных портов несколько сетей одновременно. Для хакеров особый интерес представляют похищенные учетные данные пользователей Facebook, сервисов электронной почты и других сайтов, содержащих персональную информацию.

В первую очередь данная вредоносная кампания направлена на предприятия малого и среднего бизнеса в различных промышленных отраслях. По имеющимся данным, только в последнее время жертвами Operation Black Atlas стали:

  • здравоохранительные учреждения;
  • стоматологические клиники;
  • страховые компании;
  • заправочные станции;
  • магазины косметики.


В ходе атак злоумышленники не по назначению используют функцию Windows Background Intelligent Transfer Service (BITS) или bitsadmin.exe, которая предназначена для получения обновлений. С помощью BITS хакеры загружают на систему вредоносное ПО NewPOSThings - зловред, обладающий кейлогером, инструментами для чтения информации из ОЗУ и обмена данными с внешними серверами. Кроме того, злоумышленники загружают вариант Neutrino (Kasidet), а в некоторых случаях CenterPOS, Project Hook или PwnPOS.

Хакерам сумели воспроизвести модульный ботнет Gorynych/Diamond Fox и перепрофилировать его для поиска выходного файла BlackPOS, содержащего похищенные данные кредитных карт.


Обновлено (22.12.2015 18:23)