Специалисты Flashpoint обнаружили PoS-малварь, которая атакует малый и средний бизнес (преимущественно рестораны, кинотеатры и другие объекты индустрии развлечений и гостиничного бизнеса) с 2016 года и использует DGA для связи со своими управляющими серверами.
По мнению исследователей, исходное заражение вредоносом, ворующим банковские карты, происходит через обычный брутфорс SSH или путем поиска известных уязвимостей и их эксплуатации.
Основной отличительной чертой DMSniff является использование механизма DGA (Domain Generation Algorithm), что довольно редко встречается у PoS-малвари. DGA – это алгоритм, который генерирует рендомные доменные имена, к которым вредонос будет обращаться. И только оператор малвари, сконфигурировавший DGA, будет знать, как именно это работает, и сможет прогнозировать, какой домен станет следующим. Так как DGA позволяет преступникам регулярно менять дислокацию управляющего сервера, бороться с такими вредоносами весьма сложно.
Эксперты поясняют, что даже если некоторые домены преступников были выведены из строя правоохранительными органами или хостинг-провайдерами, это практически не мешает работе вредоноса, который все равно может «общаться» с управляющими серверами.
В общей сложности исследователям удалось выявить 11 вариаций DGA, что свидетельствует о том, что за последние четыре года преступники создали как минимум 11 вариаций своей малвари. При этом не похоже, что злоумышленники нацелены на какой-то конкретный регион или страну, так как заражения были обнаружены по всему миру.
К отчету экспертов Flashpoint приложен отдельный файл с индикаторами компрометации. Исследователи пишут, что все собранные данные уже были переданы представителям правоохранительных органов.