Открыть сервис

BlackPOS

BlackPOS — это семейство вредоносных программ (троянов), предназначенных для кражи данных банковских карт с терминалов оплаты (POS-терминалов) и кассовых компьютеров, работающих под управлением операционных систем семейства Microsoft Windows. Относится к классу RAM-скрэпингов (от англ. RAM scraping — «соскабливание» оперативной памяти), так как извлекает данные треков магнитной полосы карт непосредственно из оперативной памяти обрабатывающих устройств. Впервые обнаружен в 2012 году и получил широкую известность после ряда громких утечек данных в крупных розничных сетях.

История

Первые образцы BlackPOS были обнаружены специалистами по кибербезопасности в середине 2012 года. Исследователи связывают его появление с деятельностью русскоязычных киберпреступных групп. Вредонос распространялся через фишинговые письма, заражённые веб-сайты и под видом легитимного программного обеспечения, часто маскируясь под обновления драйверов или утилиты для работы с банковским оборудованием.

Наибольшую известность BlackPOS приобрёл в декабре 2013 года, когда стало известно о масштабной утечке данных из американской розничной сети Target. В результате атаки были скомпрометированы данные около 40 миллионов банковских карт. Расследование показало, что злоумышленники проникли в сеть компании через скомпрометированные учётные данные подрядчика по вентиляции и кондиционированию, после чего установили BlackPOS на POS-терминалы в магазинах. Эта атака стала одной из крупнейших в истории на тот момент и привлекла внимание общественности к угрозам со стороны POS-троянов.

Впоследствии были обнаружены многочисленные модификации BlackPOS, включая варианты, ориентированные на различные версии Windows и конкретные модели POS-терминалов. С 2014 по 2016 год фиксировались атаки с использованием BlackPOS на сети ресторанов быстрого питания, гостиниц и автозаправочных станций в США, Канаде и странах Европы. К 2017 году активность BlackPOS снизилась, уступив место более сложным и целенаправленным атакам, однако его код лёг в основу многих последующих POS-троянов.

Устройство и принцип действия

Механизм заражения

BlackPOS распространяется как исполняемый файл (обычно с расширением .exe). Для внедрения в целевую систему злоумышленники используют методы социальной инженерии, эксплуатацию уязвимостей в сетевом оборудовании или удалённое администрирование через скомпрометированные учётные записи. После запуска вредонос копирует себя в системную директорию Windows (например, C:\Windows\System32) и создаёт записи в реестре для автозагрузки при старте системы. Для маскировки файл может называться именем, имитирующим системные процессы, например csrss.exe или svchost.exe.

Сбор данных

Основная функция BlackPOS — перехват данных с магнитной полосы банковских карт (Track 1 и Track 2). Вредонос работает следующим образом:

  • Сканирование памяти: BlackPOS периодически сканирует оперативную память процессов, связанных с обработкой платежей (например, pos.exe, pcpos.exe, retail.exe). Он ищет характерные паттерны данных, соответствующие формату треков магнитной полосы.
  • Извлечение данных: При обнаружении данных, содержащих номер карты (PAN — Primary Account Number), срок действия, имя держателя и CVV/CVC-код (в зависимости от реализации), вредонос копирует их во временный буфер.
  • Сбор информации: Помимо данных карт, BlackPOS может собирать информацию о системе: версию операционной системы, имя компьютера, установленное антивирусное ПО и сетевые настройки.

Передача данных

Собранные данные сохраняются в зашифрованном виде в локальных файлах (например, с расширением .txt, .dat или .tmp) в скрытых директориях. Периодически (каждые 15–60 минут) вредонос пытается отправить накопленную информацию на удалённый сервер управления (C2 — Command and Control). Передача осуществляется по протоколу HTTP или HTTPS, часто с использованием легитимных облачных сервисов или скомпрометированных сайтов в качестве промежуточных узлов. Для сокрытия трафика данные могут быть дополнительно закодированы в Base64 или зашифрованы с использованием алгоритмов XOR или AES.

Классификация

Специалисты по кибербезопасности выделяют несколько основных модификаций BlackPOS:

МодификацияОсобенностиГод обнаружения
BlackPOS v1Базовая версия, работающая с процессами, содержащими в названии «pos» или «retail».2012
BlackPOS v2Добавлена поддержка 64-битных систем, улучшен механизм сканирования памяти.2013
BlackPOS v3Внедрён полиморфизм кода для обхода антивирусных сигнатур, расширен список целевых процессов.2014
BlackPOS v4Использование шифрования данных перед отправкой, поддержка работы в виртуальных средах.2015
BlackPOS LiteОблегчённая версия, не имеющая модуля автозагрузки, распространяется как одноразовый дроппер.2016

Помимо оригинального BlackPOS, существует множество его клонов и производных, таких как AlinaPOS, Dexter, PunkeyPOS и JackPOS, которые используют схожие принципы работы, но имеют различные механизмы обхода защиты и методы распространения.

Применение и цели

BlackPOS используется исключительно в преступных целях для получения финансовой выгоды. Основные цели атак:

  • Крупные розничные сети: магазины, супермаркеты, гипермаркеты, где обрабатывается большое количество транзакций в день.
  • Рестораны и кафе: заведения общественного питания, часто имеющие POS-терминалы с ограниченной защитой.
  • Гостиницы и отели: системы бронирования и оплаты, обрабатывающие данные карт клиентов.
  • Автозаправочные станции: терминалы оплаты на АЗС, часто подключённые к централизованным платёжным системам.

Полученные данные карт (дампы треков) затем продаются на подпольных форумах (так называемых «кардерских» площадках) или используются для изготовления поддельных карт с магнитной полосой. Стоимость одного дампа на чёрном рынке в 2013–2015 годах составляла от 10 до 100 долларов США в зависимости от банка-эмитента и лимитов карты.

Обнаружение и защита

Методы обнаружения

Антивирусные компании начали добавлять сигнатуры BlackPOS в свои базы данных с конца 2012 года. Однако из-за полиморфизма и частых обновлений вредонос мог долгое время оставаться незамеченным. Основные методы обнаружения включают:

  • Сигнатурный анализ: поиск характерных строк кода (например, BlackPOS, Track2, Dump).
  • Поведенческий анализ: мониторинг процессов, которые сканируют память других процессов без видимой причины.
  • Эвристический анализ: выявление попыток записи в системные директории и создания скрытых файлов.
  • Сетевая аналитика: обнаружение подозрительных исходящих соединений на неизвестные IP-адреса в нерабочее время.

Меры защиты

Для защиты от BlackPOS и аналогичных угроз рекомендуется:

  • Обновление ПО: своевременная установка обновлений операционной системы и антивирусных баз.
  • Сегментация сети: изоляция POS-терминалов от корпоративной сети и интернета, использование отдельных VLAN.
  • Минимизация прав: запуск POS-программ от учётных записей с минимальными привилегиями.
  • Шифрование данных: использование сквозного шифрования (P2PE) и токенизации данных карт.
  • Аудит безопасности: регулярное сканирование POS-терминалов на наличие вредоносного ПО и проверка целостности системных файлов.
  • Обучение персонала: информирование сотрудников о методах социальной инженерии и правилах работы с подозрительными вложениями.

Влияние на индустрию

Атаки с использованием BlackPOS оказали значительное влияние на индустрию платёжных систем и кибербезопасности. После инцидента с Target в 2013 году многие ритейлеры ускорили внедрение чиповых карт стандарта EMV (Europay, Mastercard, Visa), которые сложнее скомпрометировать, чем карты с магнитной полосой. Также возросли инвестиции в системы обнаружения вторжений (IDS) и управления событиями безопасности (SIEM). В США были ужесточены требования к защите данных платёжных карт (стандарт PCI DSS), а штрафы за утечки данных стали более существенными.

BlackPOS также способствовал развитию рынка «киберстрахования» — страхования рисков, связанных с утечками данных. Компании начали активнее привлекать сторонних аудиторов для проверки безопасности POS-инфраструктуры.

Источники

  • Krebs, B. (2014). Spam Nation: The Inside Story of Organized Cybercrime—from Global Epidemic to Your Front Door. Sourcebooks.
  • McMillan, R. (2013). «Target Data Breach: How Hackers Stole 40 Million Credit Cards». The Wall Street Journal.
  • Аналитические отчёты компаний Symantec, Kaspersky Lab и FireEye за 2012–2016 годы по угрозам POS-троянов.
  • «BlackPOS: A Point-of-Sale Malware Analysis». SANS Institute InfoSec Reading Room, 2014.
  • «Understanding POS Malware». Verizon Data Breach Investigations Report, 2014–2016.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →