По информации компании RSA, десятки розничных сетей пострадали от вредоносной программы ChewBacca, заражавшей кассовое оборудование и перехватывавшей персональные данные кредитных карт из оперативной памяти POS-терминалов.

В конце 2013 г. многие розничные сети столкнулись с одними и теми же проблемами и вынуждены были признать, что были атакованы хакерами, получившими доступ в систему через POS-терминалы. Только в США крупнейшие сети Target и Neiman Marcus стали источником данных о более чем 110 млн кредитных карт. После анализа вредоносного ПО и его серверной инфраструктуры специалисты RSA пришли к выводу, что в атаках на эти сети, а также на ритейлеров еще из 10 стран, в том числе Австралии, Канады и России, было использовано новое вредоносное ПО – троянская программа ChewBacca.

Впервые о вредоносе ChewBacca сообщили специалисты «Лаборатории Касперского», в декабре 2013 г., которые, еще не располагая информацией о фактах заражения, предположили, что троянец занимается сбором финансовых данных. В RSA считают, что первые заражения ChewBacca произошли 25 октября 2013 г.

ChewBacca имеет широкий спектр возможностей: перехват данных из оперативной памяти, использование Tor-соединений для обеспечения конфиденциальности обмена данными с управляющим сервером, функции кейлоггера, анализатор системных журналов, и даже spoolsv.exe для размещения ключевых компонентов ПО в автозагрузке и постоянного присутствия кода в памяти устройства. Со стороны сервера предусмотрена система для анализа полученных данных.

Как подчеркивают в RSA, сам код ChewBacca довольно прост и не имеет хитроумного защитного механизма, впрочем, в нем нет необходимости, поскольку в большинстве случаев на оконечных устройствах в точках продаж редко используются инструменты защиты от вредоносов. А тот факт, что ChewBacca оставался незамеченным более двух месяцев, в RSA связывают с невнимательностью администраторов и фактором внезапности, ведь ранее хакеры работали преимущественно с процессинговыми центрами и хранилищами данных, не доходя до уровня POS-терминалов.

Несмотря на сложности детектирования, связанные с использованием Tor-соединений, RSA удалось установить, что подключение управляющих серверов происходило с территории Восточной Европы.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365