Виявлено серію складних кібератак, спрямованих на POS-термінали, зокрема VMWare Horizon та інші тонкі клієнти. Зловмисники використовують шкідливе програмне забезпечення FrameworkPOS і Cobalt Strike для крадіжки даних карток і встановлення бекдорів, що загрожує фінансовим, страховим і медичним організаціям по всьому світу.

Що відомо? Атака розпочинається з використання PowerShell/WMI для завантаження Cobalt Strike у пам’ять, що дозволяє хакерам уникати виявлення антивірусами. Зловмисники встановлюють бекдори, такі як “WindowsHelpAssistant” через планувальник завдань або ключ HKLM Run, використовуючи бібліотеку Assistant32.dll для збору даних із POS-систем. Ці атаки пов’язують із групою FIN6, відомою своєю активністю у крадіжці платіжних даних, а також із групою EmpireMonkey. Атаковані організації в США, Японії, Індії та інших країнах.

Як захиститися?

-Встановіть інструменти захисту пам’яті, такі як Morphisec AMTD, для блокування атак у реальному часі.
-Регулярно оновлюйте POS-системи та перевіряйте їх на вразливості.
-Моніторте мережевий трафік на підозрілі підключення до C2-серверів.
-Увімкніть двофакторну автентифікацію (2FA) для всіх облікових записів.
-Навчайте співробітників розпізнавати фішингові атаки, які часто є точкою входу.
-Ця кампанія показує, наскільки вразливими є POS-системи через застарілі оновлення та недостатній захист. Захистіть свій бізнес від атак на ланцюг поставок і збережіть довіру клієнтів!