Группировка промышляет кражами данных платежных карт для последующей продажи на подпольных форумах.
Эксперты подразделения IBM X-Force IRIS зафиксировали новую вредоносную кампанию, направленную на PoS-терминалы в США и Европе. Организатором атак является хакерская группировка FIN6, промышляющая кражами данных платежных карт для последующей продажи на подпольных форумах.
Впервые о группировке стало известно в 2016 году, когда хакеры атаковали PoS-терминалы ритейлеров и компаний в сфере здравоохранения. Злоумышленникам удалось похитить данные более 10 млн платежных карт, которые затем были выставлены на продажу на одном из подпольных рынков. В ходе кампании преступники использовали бэкдор Grabnew для сбора учетных данных, ряд публично доступных инструментов, а также вредоносное ПО Trinity (оно же FrameworkPOS) для извлечения информации из памяти PoS-терминалов. Затем данные сжимались в .ZIP архив и отправлялись на подконтрольный хакерам сервер.
В новой кампании участники FIN6 действуют аналогичным способом, однако помимо Grabnew и Trinity, в атаках используются фреймворк Metasploit и программа WMIC (Windows Management Instrumentation Command) для «автоматизации удаленного выполнения скриптов и команд PowerShell».
По словам исследователей, применяемый хакерами инструментарий достаточно прост и доступен в интренете. Основной интерес представляет способность злоумышленников незаметно обходить средства защиты систем. FIN6 обфусцирует команды PowerShell с помощью base64-кодирования и утилиты gzip, генерирует рандомные имена служб в журнале событий Windows, а также динимически генерирует имена файлов на диске. Кроме того, группировка использует определенные параметры PowerShell для обхода антивирусов и создает файл winhlp.dat для маскировки вредоносного скрипта PowerShell, предназначенного для внедрения FrameworkPOS в процесс lsass.exe.
В настоящее время число предприятий и организаций, пострадавших от данной кампании, неизвестно.
