Kopie aplikacji wykryto m.in. w terminalach wykorzystywanych w kilku popularnych sieciach handlowych, restauracjach, a nawet płatnych parkingach. "Wykryliśmy ten program podczas analizowania innego zagrożenia. Udało nam się już namierzyć serwer C&C [command and control - red.], za pośrednictwem którego kontrolowany jest ów program i na który przesyłane są wszystkie wykradane informacje. Znajduje się on na Seszelach" - wyjaśnia Aviv Raff, CTO Seculert.

Po zainfekowaniu systemu Dexter sprawdza listę aktywnych procesów i identyfikuje te, które powiązane są z operacjami handlowymi (szuka aplikacji charakterystycznych dla urządzeń PoS - point of sale). Następnie zaczyna przechwytywać dane z nich i wysyła je na zdalny serwer. Informacje te są następnie analizowane pod kątem danych kart płatniczych.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Na razie nie wiadomo, ile dokładnie stanowisk płatniczych zostało zainfekowanych przez Dextera - ale na podstawie zgromadzonych do tej pory informacji przedstawiciele Seculert szacują, że może być ich pomiędzy 200 a 300. Ze statystyk serwera C&C wynika, że ok. 30% z nich znajduje się w USA, 19% w Wielkiej Brytanii, zaś 9% - w Kanadzie. Przypadki infekcji odnotowano również m.in. w Polsce, Holandii, Hiszpanii, RPA, Francji, Rosji, Brazylii, Turcji oraz we Włoszech.

Nie wiadomo, kto może być autorem złośliwego oprogramowania - Aviv Raff zaznacza jednak, że osoba (osoby?) te biegle posługują się językiem angielskim i że jest to prawdopodobnie jego/ich język ojczysty (wskazują na to np. adnotacje w kodzie - developerze mają zwyczaj pisać je w ojczystym języku).

Dodajmy, że urządzenia PoS pracują zwykle pod kontrolą Windows - analizy wykazały, że ponad 50% zainfekowanych przez Dextera urządzeń wyposażonych jest w Windows XP, 17% - w Windows Home Server, 9% - Windows Server 2003, zaś 7% w Windows 7.

Nie wiadomo na razie, jak dokładnie przebiega proces infekowania komputera przez Dextera - specjaliści z Seculert sądzą, że najbardziej prawdopodobnym scenariuszem jest atakowanie PoS-ów za pośrednictwem innego komputera podłączonego do tej samej sieci (z uwagi na specyfikę terminali, możliwości bezpośredniego zaatakowania ich są ograniczone - urządzenia te nie są np. wykorzystywane do surfowania po WWW).

Warto odnotować, że nie jest to pierwszy przypadek atakowania terminali PoS - w Rumunii zatrzymano niedawno 16 członków gangu specjalizującego się w takich operacjach (kradzione dane kart płatniczych wykorzystywali oni do klonowania kart).

Więcej informacji znaleźć można w blogu firmy Seculert.