Эксперты Seculert обнаружили специализированную вредоносную программу Dexter, ворующую реквизиты банковских карт из торговых терминалов под ОС Windows. Зловред внедряется в системный процесс "iexplore.exe", обеспечивая его повторный запуск при отключении вручную, составляет перечень активных процессов, для каждого определяет доступные пространства памяти, производит считывание в локальный буфер, используя функцию ReadProcessMemory, и анализирует полученные данные для последующей отправки злоумышленникам. По свидетельству экспертов, Dexter интересуют данные треков 1 и 2 пластиковой карты: имя владельца, срок годности и номер карты, включающий код эмитента, класс и тип карты, номер счета, иногда ― код страны. Как правило, этой информации достаточно, чтобы изготовить подделку. Украденные данные шифруются и отправляются POST-запросом на управляющий сервер. Ответы с этого сервера, включая обновления и команду на самоуничтожения, зловред получает в виде шифрованного cookies-файла. Обращения к командному серверу осуществляются по заданному списку из 7 доменных имен, привязанных к зоне ".com". По свидетельству Verizon, 6 из них зарегистрированы на сервисе, гарантирующем конфиденциальность, и разрешаются в один и тот же IP-адрес, хорошо известный исследователям ZeuS. В более ранних, тестовых версиях Dexter вместо доменов был указан IP-адрес и единственный путь. Этот адрес, как и соответствующая AS-система (AS58001), имеют плохую репутацию. Эксперты Verizon усмотрели также некоторое сходство в поведении ZeuS и Dexter и отметили, что некоторые антивирусы списка VirusTotal детектируют нового PoS-зловреда как ZeuS. Насколько известно, Dexter существует в интернете несколько месяцев и успел поразить сотни PoS-систем в широко известных сетях розничной торговли, отелей, ресторанов, а также на частных парковках. Seculert обнаружила его присутствие в 40 странах, причем 30% заражений ― на территории США, 19% в Великобритании. Способ распространения Dexter пока не определен, известно лишь, что половина жертв используют Windows XP, свыше 30% - серверные ОС. По предположению экспертов, одним из источников заражения может быть флэш-накопитель, инфицированный модулем распространения зловреда.
Источник