RU EN
SKY-FRAUD.RU - Carding forum | Кардинг форум
Добро пожаловать на SKY-FRAUD.RU, после регистрации , вам будут доступны все разделы форума.

Вернуться   SKY-FRAUD.RU > Проект NETSKY > СМИ о нас > Dexter поражает POS-терминалы и отправляет копии пластиковых карт
 
Adv. info:
Основные домены форума: SKY-FRAUD.RU | S-FRAUD.RU              TOR: bcbm4y7yusdxthg3.onion              Monopoly.ms - Russian hacking community
СМИ о нас Интересные новости, касающиеся кардинг- и других тематик.
Ежедневное обновление и переводы зарубежных новостей.

UAS section 1
UAS Section 2
Advert 3
Ответ
 
Опции темы Опции просмотра
Старый 24.09.2013, 23:28   #1
SkyNet
Administrator
 
Аватар для SkyNet
 
SkyNet вне форума
Регистрация: 01.01.2013
Адрес: netsky.bz
Сообщений: 10,087
Отправить сообщение для SkyNet с помощью ICQ
Exclamation Dexter поражает POS-терминалы и отправляет копии пластиковых карт

На прошлой неделе объектом внимания исследователей из антивирусных компаний стала новая вредоносная программа Dexter, которая заражает торговые терминалы под Windows. Программа обнаружена в крупных торговых сетях, гостиницах, ресторанах и других организациях 40 стран, в том числе России и Латвии. Впрочем, 42% зарегистрированных случаев заражения Dexter относится к странам Северной Америки. По мнению экспертов, программа Dexter активно используется злоумышленниками уже несколько месяцев, как минимум с сентября 2012 года.
Dexter работает как программный эквивалент физического скиммера — устройства, которое прикрепляется к банкомату и производит физическое копирование магнитного слоя на пластиковой карте. Dexter тоже делает такую копию, только снимая данные не с кард-ридера, а из памяти торгового терминала. Поскольку через крупный магазин ежесуточно проходит тысячи покупателей, такой способ гораздо эффективнее, чем установка скиммера на отдельный банкомат.
Сложная программа интересна по нескольким причинам, в том числе и потому, что отдельные исследователи видят связь между авторами Dexter и авторами известнейшего банковского трояна Zeus.
Кроме этого, интересны некоторые аспекты функциональности Dexter. Программа внедряет свой код в процесс iexplore.exe, парсит оперативную память POS-терминала и копирует данные пластиковых карт. Более того, она как обычный бот способна не только отправлять данные на удалённый командный сервер, но и получать с него команды. Коммуникации осуществляются по HTTP, через запросы POST. Трафик выглядит примерно таким образом.



Как можно видеть на скриншоте, используется десять переменных, значения которых закодированы в Base64:
  • page
  • ump
  • unm
  • cnm
  • query
  • spec
  • opt
  • view
  • var
  • val
Например, переменная val имеет значение ZnJ0a2o= (Base64), то есть frtkj. Исследователи выяснили, что это ключ, который используется для шифрования всего остального текста через XOR.

“A”.xor(“f”).xor(“r”).xor(“t”).xor (“k”).xor(“j”)

Применив ключ, мы можем получить оригинальный текст шифрограммы:



По нему уже понятно, что означает каждая переменная:
  • page: строка mutex;
  • ump: данные с карты;
  • unm: имя пользователя;
  • cnm: имя хоста;
  • query: операционная система жертвы;
  • spec: тип процессора;
  • opt: неизвестно;
  • view: список всех запущенных процессов в системе;
  • var: некая уникальная строка, которая является константой на данном конкретном экземпляре заражённого устройства;
  • val: случайный ключ, который генерируется при каждом запуске программы.
Но это только половина головоломки. Каким же образом бот в торговом терминале получает команды? Ответ находится в получаемом от хоста файле cookie. Он зашифрован таким же способом, с помощью XOR, ключом из предыдущего запроса и трансляцией в Base64. Этот файл содержит следующие переменные:
  • update-: обновление программы с соответствующим аргументом;
  • checkin: изменение задержки между сеансами связи с удалённым сервером;
  • scanin: изменение задержки между считыванием памяти и копированием данных пластиковых карт;
  • uninstall: полное удаление программы;
  • download-: скачивание и исполнение кода, указанного через аргумент.


Специалистам удалось получить доступ к административной панели Dexter на одном из серверов.



Полученную с терминалов копию магнитной носителя карты можно использовать для изготовления клона этой карты. Процесс клонирования карт показан на видео.

[Для просмотра данной ссылки нужно зарегистрироваться]
 
Ответить с цитированием

Advertising \ Реклама
Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donald Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU


Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donal Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU


Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donal Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU



Ответ
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра
Ваши права в разделе
no Вы не можете создавать новые темы
no Вы не можете отвечать в темах
no Вы не можете прикреплять вложения
no Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Какими будут пластиковые карты будущего? SkyNet СМИ о нас 0 01.03.2015 01:03
одинаковые ключи ssh в тысячах устройств SkyNet СМИ о нас 0 26.02.2015 20:20
Новый троян Soraya комбинирует функции Dexter и Zeus SkyNet СМИ о нас 0 04.06.2014 20:07
Толковый Словарь black Статьи 1 20.06.2013 17:40
Оборудование для производства пластиковых карт SkyNet Статьи 0 03.06.2013 17:45


Forum partners: https://monopoly.ms