Злоумышленники  атаковали свыше 100 североамериканских компаний, эксплуатируя уязвимость нулевого дня в Windows (CVE-2016-0167), которая частично была исправлена в прошлом месяце (дополнительный патч был также выпущен 10 мая). Был использован ранее неизвестный инструмент для похищения данных банковских карт из памяти PoS-терминалов PUNCHTRACK.  Такие данные приводят эксперты FireEye.

Еще в марте 2016 года жертвами подобных атак стали торговые предприятия, а также представители ресторанного и гостиничного бизнеса. Вредоносная компания осуществлялась с помощью фишинговых писем, содержащих документ Microsoft Word со встроенными макросами. После активации эти макросы загружали на систему жертвы вредоносный дроппер FireEye как PUNCHBUGGY.

Отметим, PUNCHBUGGY представляет собой динамически подключаемую библиотеку в двух версиях – 32-битной и 64-битной. С помощью данного загрузчика, способного получать по HTTPS-протоколу дополнительный код, злоумышленники взаимодействовали с инфицированными системами.

Уязвимость CVE-2016-0167, затрагивающая часть графической подсистемы win32k, позволяла атакующим повысить свои привилегии ПО загружалось обфусцированным дроппером и не сохранялось на диске. Как сообщают специалисты, использование загрузчика PUNCHBUGGY в паре с ПО PUNCHTRACK было зафиксировано только в данных инцидентах.