Создатели троянской программы FastPOS для PoS-терминалов внедрили в свою разработку новую схему эксфильтрации информации. Как утверждают исследователи Trend Micro, для того, чтобы хранить похищенные данные перед их отправкой на сервер, подконтрольный хакерам, применяется Windows Mailslot.
Новый вариант троянской программы появился в июне, и исследователи нашли ее рекламу на подпольных сайтах, посвященных кардингу. В ходе проведения анализа выяснилось, что FastPOS, в отличие от своих аналогов, работает очень быстро, однако для этого программа жертвует скрытностью. Хакеры пользуются троянской программой как минимум с марта минувшего года. Каждый сентябрь FastPOS обновляется разработчиками в рамках подготовки к предпраздничному сезону покупок.
Обновленная программа FastPOS может заражать компьютеры, которые работают под управлением 32-разрядной и 64-разрядной версии Windows. В состав троянской программы входят два компонента: кейлоггер и модуль для хищения информации из памяти. В отличие от предыдущей версии, где две ее части функционировали в рамках одного системного процесса, два элемента обновленного FastPOS работают в разных процессах. Поэтому троянскую программу теперь сложнее удалить с компьютера, но она стала более заметной для антивирусных продуктов. По словам экспертов, обнаружить HTTP-соединение, которое используется вредоносной программой для хищения данных банковских карт из PoS-терминалов, нетрудно, так как информация не шифруется.
Главные изменения в обновленной версии FastPOS затронули механизм хранения похищенных данных перед их отправкой на сервер, подконтрольный хакерам. Как и предыдущая версия, обновленная троянская программа осуществляет хранение данных в оперативной памяти самого компьютера. FastPOS пользуется механизмом Mailslot, который подразумевает применение временных файлов в оперативной памяти, предназначенных для хранения межпроцессных коммуникаций. Так как модули вредоносной программы проникают в такие процессы, как explorer.exe и services.exe, они могут пользоваться временными файлами для хранения похищенной информации.