Er is een opstandig ras POS-malware ontdekt: Punkey Malware

nieuwe pos-malware

Onderzoekers van beveiligingsbedrijf Trustwave hebben een nieuw soort POS-malware geïdentificeerd als onderdeel van een onderzoek onder leiding van de Amerikaanse geheime dienst.

Over het algemeen ontdekte het Trustwave-team de IP-adressen van meer dan 75 geïnfecteerde kassa’s, evenals een stapel gestolen betaalkaartgegevens.

Het is op dit moment onduidelijk hoeveel slachtoffers ten prooi zijn gevallen aan de nieuwe soort malware die Punkey is genoemd.

Ontdekt tijdens de analyse van meerdere commando- en besturingsservers, heeft Punkey overeenkomsten met een andere familie van POS-malware bekend als NewPosThings – recent ontdekt door onderzoekers van Arbor Networks en Trend Micro – maar voldoende verschillen om te worden geclassificeerd als een nieuwe soort.

Sinds het eerste onderzoek heeft Trustwave drie verschillende versies van Punkey waargenomen, wat suggereert dat het is aangepast voor gebruik tegen specifieke retaildoelen, of wordt beheerd door meerdere hackgroepen.

Punkey verbergt zich binnen het explorer.exe-proces op Windows POS-systemen totdat het wordt geactiveerd, waarna het het geheugen van het register scant op gegevens van de kaarthouder.

Wanneer betaalkaartgegevens zijn ontdekt, worden deze doorgestuurd naar een opdracht- en controleserver van waaruit de aanvallers deze kunnen ophalen.

Eenmaal op zijn plaats kan Punkey mogelijk ook toegang geven tot andere delen van de systemen van een bedrijf via het gebruik van een keylogger (DLLx64.dll).

Met de malware kunnen toetsaanslagen worden vastgelegd en teruggestuurd naar opdracht- en besturingsservers, 200 toetsaanslagen tegelijk. Als zo gebruikersnamen en wachtwoorden voor andere delen van het netwerk van het bedrijf worden verkregen, kan het verkrijgen van toegang tot meer dan het kassasysteem een ​​fluitje van een cent zijn.

Trustwave gelooft dat Punkey, dat zowel in 32-bits als 64-bits smaken voorkomt, zijn weg vindt naar systemen via de gebruikelijke beproefde middelen – slechte wachtwoordbeveiliging toegepast op externe toegangssoftware die wordt gebruikt voor toegang tot POS-systemen, of via menselijke fouten, b.v. kassiers die kassa’s gebruiken voor andere doeleinden, zoals het openen van kwaadaardige e-mails of surfen op gevaarlijke websites.

Eric Merritt schreef voor Trustwave’s SpiderLabs-blog en legde uit hoe Punkey persoonlijke gegevens kan zoeken en vervolgens besturen, evenals de “zeldzame” mogelijkheid om zichzelf bij te werken en op afstand aan te passen:

“Dit geeft Punkey de mogelijkheid om extra tools op het systeem uit te voeren, zoals het uitvoeren van verkenningshulpmiddelen of het uitvoeren van privilege-escalatie. Dit is een zeldzame functie voor PoS-malware. “

Gelukkig voor retailers heeft Trustwave een tool ontwikkeld die Punkey-verkeer kan decoderen. Het hulpprogramma, dat zich bevindt op de softwarepository Github, kan betrokken bedrijven helpen bepalen of er Punkey-verkeer over hun netwerk loopt.

Retailers moeten zich natuurlijk steeds meer bewust zijn van de dreiging van POS RAM-schraapaanvallen.

Afgezien van het inmiddels zeer bekende geval van Target, dat via zijn kassa’s werd doorbroken, blijft het probleem voor de industrie zorgen.

Afgelopen week werd in het jaarlijkse rapport over gegevensinbreuken van Verizon benadrukt hoe infiltratie van kassasystemen een belangrijke bedreiging vormde, met een van de drie belangrijkste oorzaken voor bevestigde datalekken in 2014.

Met al drie soorten Punkey, plus NewPosThings en de ook recent ontdekte Poseidon-stam van POS-malware, lijkt 2015 misschien een slechter jaar te zijn voor retailers dan het voorgaande.

Uitgelichte afbeelding: scottdavis2 / Dollar Photo Club

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map