Dexter поражает POS-терминалы и отправляет копии пластиковых карт

На прошлой неделе объектом внимания исследователей из антивирусных компаний стала новая вредоносная программа Dexter, которая заражает торговые терминалы под Windows. Программа обнаружена в крупных торговых сетях, гостиницах, ресторанах и других организациях 40 стран, в том числе России и Латвии. Впрочем, 42% зарегистрированных случаев заражения Dexter относится к странам Северной Америки. По мнению экспертов, программа Dexter активно используется злоумышленниками уже несколько месяцев, как минимум с сентября 2012 года.
Dexter работает как программный эквивалент физического скиммера — устройства, которое прикрепляется к банкомату и производит физическое копирование магнитного слоя на пластиковой карте. Dexter тоже делает такую копию, только снимая данные не с кард-ридера, а из памяти торгового терминала. Поскольку через крупный магазин ежесуточно проходит тысячи покупателей, такой способ гораздо эффективнее, чем установка скиммера на отдельный банкомат.
Сложная программа интересна по нескольким причинам, в том числе и потому, что отдельные исследователи видят связь между авторами Dexter и авторами известнейшего банковского трояна Zeus.
Кроме этого, интересны некоторые аспекты функциональности Dexter. Программа внедряет свой код в процесс iexplore.exe, парсит оперативную память POS-терминала и копирует данные пластиковых карт. Более того, она как обычный бот способна не только отправлять данные на удалённый командный сервер, но и получать с него команды. Коммуникации осуществляются по HTTP, через запросы POST. Трафик выглядит примерно таким образом.



Как можно видеть на скриншоте, используется десять переменных, значения которых закодированы в Base64:

• page
• ump
• unm
• cnm
• query
• spec
• opt
• view
• var
• val

Например, переменная val имеет значение ZnJ0a2o= (Base64), то есть frtkj. Исследователи выяснили, что это ключ, который используется для шифрования всего остального текста через XOR.

“A”.xor(“f”).xor(“r”).xor(“t”).xor(“k”).xor(“j”)

Применив ключ, мы можем получить оригинальный текст шифрограммы:



По нему уже понятно, что означает каждая переменная:

• page: строка mutex;
• ump: данные с карты;
• unm: имя пользователя;
• cnm: имя хоста;
• query: операционная система жертвы;
• spec: тип процессора;
• opt: неизвестно;
• view: список всех запущенных процессов в системе;
• var: некая уникальная строка, которая является константой на данном конкретном экземпляре заражённого устройства;
• val: случайный ключ, который генерируется при каждом запуске программы.

Но это только половина головоломки. Каким же образом бот в торговом терминале получает команды? Ответ находится в получаемом от хоста файле cookie. Он зашифрован таким же способом, с помощью XOR, ключом из предыдущего запроса и трансляцией в Base64. Этот файл содержит следующие переменные:

• update-: обновление программы с соответствующим аргументом;
• checkin: изменение задержки между сеансами связи с удалённым сервером;
• scanin: изменение задержки между считыванием памяти и копированием данных пластиковых карт;
• uninstall: полное удаление программы;
• download-: скачивание и исполнение кода, указанного через аргумент.

Специалистам удалось получить доступ к административной панели Dexter на одном из серверов.



Полученную с терминалов копию магнитной носителя карты можно использовать для изготовления клона этой карты. Процесс клонирования карт показан на видео.

(c) xakep.ru​

интересно.....

вот и снифферы поползли в паблик

я не где не нашол Dextera...

Размечтался, написанно же что спецалисты видят связь между зевсом и декстером. Так что скорее всего его у создателя зевсе тока купить можно, или он его сам юзает

***

Хах, пенка. Наивный челл

А как их заражают, кто как считает?

судя по последнему скрину может брутят на легкие юзернеймы и пассы те компы к которым подключены терминалы

Брутить это по старинке, у думаю что в данном случае , они массовостью берут(ну саморазмножение(а на работе , многие ведь флешки втыкают(а на них хрен знает че), хотя если ботов пару лямов, то думаю тут брутить труда не составит тоже

Познавательно +

Прикупил бы данную вещицу по разумной цене,может есть кодеры кто пишет такое?

WendM напишет тебе за 50 к лр

***

*****

***

Назови свою разумную цену.

Мне Питерцы предлагали скодить за 10к$ (в смысле они готовы заплатить)

чего? И 10k$, очень мало!

Такие вещи не выгодно продавать. Выгоднее ситематически получать % .
Есть возможность заливать такие продукты непосредственно в АТМ, через слесаря-ремонтника