Кодграбберы business-club.biz Гарант сервис
Все Авиа Фальшденьги и переводы
Регистрация FAQs
  business-club.biz > FORUM > Новости киберпреступности

Новости киберпреступности Новостная сводка мировой киберпреступности

 
Опции темы Опции просмотра
  #1  
05.03.2015, 15:17
Аватар для ViDoG
ViDoG ViDoG вне форума
Депозит: 0
Don
Регистрация: 04.01.2013
Адрес: Underground
Сообщений: 129
ViDoG на пути к лучшему
 
По умолчанию

На прошлой неделе объектом внимания исследователей из антивирусных компаний стала новая вредоносная программа Dexter, которая заражает торговые терминалы под Windows. Программа обнаружена в крупных торговых сетях, гостиницах, ресторанах и других организациях 40 стран, в том числе России и Латвии. Впрочем, 42% зарегистрированных случаев заражения Dexter относится к странам Северной Америки. По мнению экспертов, программа Dexter активно используется злоумышленниками уже несколько месяцев, как минимум с сентября 2012 года.
Dexter работает как программный эквивалент физического скиммера — устройства, которое прикрепляется к банкомату и производит физическое копирование магнитного слоя на пластиковой карте. Dexter тоже делает такую копию, только снимая данные не с кард-ридера, а из памяти торгового терминала. Поскольку через крупный магазин ежесуточно проходит тысячи покупателей, такой способ гораздо эффективнее, чем установка скиммера на отдельный банкомат.
Сложная программа интересна по нескольким причинам, в том числе и потому, что отдельные исследователи видят связь между авторами Dexter и авторами известнейшего банковского трояна Zeus.
Кроме этого, интересны некоторые аспекты функциональности Dexter. Программа внедряет свой код в процесс iexplore.exe, парсит оперативную память POS-терминала и копирует данные пластиковых карт. Более того, она как обычный бот способна не только отправлять данные на удалённый командный сервер, но и получать с него команды. Коммуникации осуществляются по HTTP, через запросы POST. Трафик выглядит примерно таким образом.



Как можно видеть на скриншоте, используется десять переменных, значения которых закодированы в Base64:
  • page
  • ump
  • unm
  • cnm
  • query
  • spec
  • opt
  • view
  • var
  • val
Например, переменная val имеет значение ZnJ0a2o= (Base64), то есть frtkj. Исследователи выяснили, что это ключ, который используется для шифрования всего остального текста через XOR.

“A”.xor(“f”).xor(“r”).xor(“t”).xor (“k”).xor(“j”)

Применив ключ, мы можем получить оригинальный текст шифрограммы:



По нему уже понятно, что означает каждая переменная:
  • page: строка mutex;
  • ump: данные с карты;
  • unm: имя пользователя;
  • cnm: имя хоста;
  • query: операционная система жертвы;
  • spec: тип процессора;
  • opt: неизвестно;
  • view: список всех запущенных процессов в системе;
  • var: некая уникальная строка, которая является константой на данном конкретном экземпляре заражённого устройства;
  • val: случайный ключ, который генерируется при каждом запуске программы.
Но это только половина головоломки. Каким же образом бот в торговом терминале получает команды? Ответ находится в получаемом от хоста файле cookie. Он зашифрован таким же способом, с помощью XOR, ключом из предыдущего запроса и трансляцией в Base64. Этот файл содержит следующие переменные:
  • update-: обновление программы с соответствующим аргументом;
  • checkin: изменение задержки между сеансами связи с удалённым сервером;
  • scanin: изменение задержки между считыванием памяти и копированием данных пластиковых карт;
  • uninstall: полное удаление программы;
  • download-: скачивание и исполнение кода, указанного через аргумент.


Специалистам удалось получить доступ к административной панели Dexter на одном из серверов.



Полученную с терминалов копию магнитной носителя карты можно использовать для изготовления клона этой карты. Процесс клонирования карт показан на видео.

Видеофайл в формате mp4

(c) xakep.ru
  #2  
15.03.2015, 20:07
Аватар для DarKoJa
DarKoJa DarKoJa вне форума
Депозит: 0
Don
Регистрация: 02.03.2012
Сообщений: 176
DarKoJa пока не определено
 
По умолчанию

Цитата:
Сообщение от DiB Посмотреть сообщение
вот и снифферы поползли в паблик
я не где не нашол Dextera...
  #3  
15.03.2015, 23:27
Аватар для Erick
Erick Erick вне форума
Депозит: 0
Senior Member
Регистрация: 09.03.2013
Адрес: Google Maps
Сообщений: 666
Erick скоро придёт к известности
 
По умолчанию

Размечтался, написанно же что спецалисты видят связь между зевсом и декстером. Так что скорее всего его у создателя зевсе тока купить можно, или он его сам юзает
__________________
Free your mind....
  #5  
16.03.2015, 06:19
Аватар для Erick
Erick Erick вне форума
Депозит: 0
Senior Member
Регистрация: 09.03.2013
Адрес: Google Maps
Сообщений: 666
Erick скоро придёт к известности
 
По умолчанию

Хах, пенка. Наивный челл
__________________
Free your mind....
  #6  
20.03.2015, 16:23
Аватар для Daniel12
Daniel12
Депозит: 0
Scum_of_Society
Сообщений: n/a
 
По умолчанию

А как их заражают, кто как считает?
  #7  
22.03.2015, 17:52
Аватар для mr popper
mr popper mr popper вне форума
Депозит: 0
Senior Member
Регистрация: 02.10.2012
Сообщений: 294
mr popper на пути к лучшему
 
По умолчанию

Цитата:
Сообщение от Daniel12 Посмотреть сообщение
А как их заражают, кто как считает?
судя по последнему скрину может брутят на легкие юзернеймы и пассы те компы к которым подключены терминалы
  #8  
23.03.2015, 20:32
Аватар для Erick
Erick Erick вне форума
Депозит: 0
Senior Member
Регистрация: 09.03.2013
Адрес: Google Maps
Сообщений: 666
Erick скоро придёт к известности
 
По умолчанию

Цитата:
судя по последнему скрину может брутят на легкие юзернеймы и пассы те компы к которым подключены терминалы
Брутить это по старинке, у думаю что в данном случае , они массовостью берут(ну саморазмножение(а на работе , многие ведь флешки втыкают(а на них хрен знает че), хотя если ботов пару лямов, то думаю тут брутить труда не составит тоже
__________________
Free your mind....
  #9  
24.03.2015, 13:31
Аватар для halya
halya halya вне форума
Депозит: 0
Senior Member
Регистрация: 17.07.2012
Адрес: Хочу в Дубаи
Сообщений: 339
halya - весьма и весьма положительная личностьhalya - весьма и весьма положительная личностьhalya - весьма и весьма положительная личность
 
По умолчанию

Познавательно +
__________________
Связь-пм
Все будет, но не сразу
  #10  
25.03.2015, 18:18
Аватар для mehanikXXX
mehanikXXX mehanikXXX вне форума
Депозит: 0
Don
Регистрация: 27.08.2012
Сообщений: 183
mehanikXXX на пути к лучшему
 
По умолчанию

Прикупил бы данную вещицу по разумной цене,может есть кодеры кто пишет такое?

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Немецкие IT-специалисты взломали терминалы Verifine для банковских карт. Katsuro Новости киберпреступности 2 07.10.2014 18:00
BillGuard: защита пластиковых карт от мошеннических действий Kontik Новости киберпреступности 0 28.03.2014 22:34
Citigroup: хакеры похитили более 360 000 номеров пластиковых карт UK7 Новости киберпреступности 0 01.09.2013 14:31
Как воруют деньги с наших пластиковых карт flander Статьи кардинг реал 0 18.09.2012 21:45
Признаки подделки пластиковых карт Forum_library Статьи кардинг реал 0 22.02.2012 18:54

VPN надежно
Заливы, логи Отдых от Vaca

Текущее время: 03:37. Часовой пояс GMT.