Исследователи из FireEye сообщили об обнаружении нового трояна NitlovePOS, предназначенного для хищения платежной информации с терминалов оплаты, работающих под управлением Windows.
Программа пытается связаться с командно-контрольным сервером, расположенным по IP-адресу в Санкт-Петербурге. В сообщении аналитиков нет утверждения, что за этими действиями стоят российские хакеры. Чтобы проникнуть в терминал и получить платежную информацию, злоумышленники используют спам.
Они рассылают электронные сообщения со вложенным файлом формата Microsoft Word. Заголовки сообщений заставляют продавцов, работающих за кассовыми терминалами, предполагать, что они несут любопытную для них информацию (например, «Новая вакансия», «Мое резюме», «Вопросы о работе» и т.д). В действительности же вложенный файл содержит вредоносный макрос, который загружает с командно-контрольного сервера троян NitlovePOS, пишет CNews.
Троян начинает каждые пять минут проверять оперативную память терминала на наличие платежных данных. В случае их обнаружения, троян отправляет эти данные на C&C-сервер по SSL-соединению.
Начать дискуссию