Исследователи из Trend Micro в начале декабря сообщили о новой киберкампании под названием Operation Black Atlas, организованной злоумышленниками с целью хищения информации платежных карт через PoS-терминалы. Как утверждают эксперты, в распоряжении киберпреступников есть мощный ботнет, предназначенный для поиска PoS-систем внутри сетей.
Хакеры в основном пользуются вредоносным программным обеспечением BlackPOS, также ими применяются разнообразные инструменты для мониторинга уязвимостей, программы для удаленного просмотра рабочего стола и SMTP-сканеры.
Киберпреступники одновременно осуществляют проверку нескольких сетей на наличие доступных портов. Злоумышленников также интересует похищенная учетная информация пользователей Facebook, электронных почтовых сервисов и других сайтов, содержащих персональные данные.
В качестве целей киберкампании хакеры выбрали компании малого и среднего бизнеса в различных отраслях промышленности. По информации Trend Micro, жертвами активности хакеров в рамках Operation Black Atlas в последнее время становятся учреждения здравоохранения, стоматологические клиники, страховые фирмы, магазины косметики и автозаправочные станции.
При проведении атак хакеры применяют не по назначению функцию Windows Background Intelligent Transfer Service (BITS), которая предназначается для получения обновлений. Используя BITS, хакеры осуществляют загрузку вредоносного программного обеспечения NewPOSThings, снабженного кейлоггером и инструментами, предназначенными для чтения данных из ОЗУ и обмена информацией с внешними серверами. Кроме того, злоумышленниками загружается разновидность Neutrino, а иногда PwnPOS, Project Hook или CenterPOS.
Хакеры воспроизвели модульный ботнет Gorynych/Diamond Fox и перепрофилировали его для поиска выходного файла BlackPOS, который содержит похищенную информацию кредитных карт.