В сфере кибербезопасности наблюдается рост активности старой, но постоянно развивающейся угрозы. Речь идет о вредоносной программе Jinupd, также известной под названием JackPOS. Этот специализированный инфостилер (программа для кражи информации) нацелен на платёжные терминалы (POS-системы). Его главная задача - хищение данных банковских карт путем прямого сканирования оперативной памяти процессов, связанных с обработкой платежей.
Описание
Основная опасность Jinupd заключается в его изощренной маскировке. Злоумышленники часто распространяют его под видом легитимного установщика или обновления для Java - популярной платформы, до сих пор широко используемой в корпоративной среде. Такой подход вводит пользователей в заблуждение и повышает шансы на успешное проникновение в систему. После запуска вредоносное ПО предпринимает шаги для закрепления в системе (обеспечения персистентности). Как правило, для этого оно вносит изменения в реестр Windows, создавая записи для автоматического запуска при каждой загрузке операционной системы.
Механизм работы Jinupd отлажен. Программа активно ищет в памяти процессы, связанные с обработкой транзакций. Затем она извлекает и собирает критически важные данные, такие как номера карт, имена держателей, сроки действия и коды CVV/CVC. Собранная информация тайно передается (экфильтрируется) на серверы, контролируемые киберпреступниками. Более того, Jinupd обладает функционалом для загрузки и исполнения дополнительных вредоносных модулей (полезной нагрузки). Это позволяет злоумышленникам гибко расширять возможности зараженной системы, например, устанавливая бэкдоры или криптомайнеры.
Эксперты отмечают несколько основных векторов распространения этой угрозы. Во-первых, это так называемые drive-by download-атаки, когда заражение происходит автоматически при посещении скомпрометированного или вредоносного веб-сайта без ведома пользователя. Во-вторых, Jinupd может проникать на компьютеры через уже взломанные легитимные ресурсы. В-третьих, он часто распространяется в качестве вторичной полезной нагрузки после успешной атаки другим вредоносным ПО. Например, троянец-загрузчик может сначала проникнуть в систему, а затем скачать и установить Jinupd для целевого сбора платёжных данных.
Угроза со стороны инфостилеров, нацеленных на POS-системы, остается актуальной для ритейла, ресторанного бизнеса и гостиничного сектора. Успешная атака может привести к масштабным утечкам данных карт, финансовым потерям, судебным искам и серьезному репутационному ущербу для компании.
Для защиты специалисты рекомендуют предпринимать комплексные меры. Критически важно регулярно обновлять всё программное обеспечение, включая операционные системы, антивирусные решения и, что особенно важно, само Java, если его использование необходимо. Следует проявлять крайнюю осторожность при загрузке файлов из интернета и проверять их цифровые подписи. Кроме того, необходимо внедрять принцип наименьших привилегий для учетных записей пользователей и применять сегментацию сети, чтобы изолировать платёжные системы от других сегментов корпоративной инфраструктуры. Мониторинг сетевой активности и нестандартных обращений к реестру также поможет вовремя обнаружить подозрительные действия.
Появление и постоянная модификация таких угроз, как Jinupd, подчеркивают необходимость постоянной бдительности и многоуровневой защиты. Бизнесам, обрабатывающим платёжные данные, необходимо сочетать технологические решения с обучением сотрудников для эффективного противодействия современным киберугрозам.
Индикаторы компрометации
SHA256
- 7da2b0790888196277f45b32162c355c0b68c8a83479c5c3bbb3dd6deed80c8a
- b9f8c7b020be54cc25d73d0fdf75378a87fa5729a9464366f33c274af795c050
