Была обнаружена мятежная порода POS Malware: Punkey Malware
Исследователи из охранной фирмы Trustwave определили новое поколение вредоносных программ для торговых точек (POS) в рамках расследования, проведенного секретной службой США..
В целом, команда Trustwave обнаружила IP-адреса более 75 инфицированных кассовых аппаратов, а также кучу украденных данных платежных карт..
В настоящее время неясно, сколько жертв стало жертвой нового штамма вредоносного ПО, получившего название Punkey..
Обнаруженный во время анализа нескольких командных и управляющих серверов, Punkey имеет сходство с другим семейством вредоносных программ для POS, известным как NewPosThings, недавно обнаруженным исследователями в Arbor Networks и Trend Micro, но при этом достаточно различий, чтобы классифицировать его как новый штамм..
Со времени первоначального расследования Trustwave обнаружил три разные версии Punkey, предполагая, что он либо адаптирован для использования против конкретных розничных целей, либо контролируется несколькими хакерскими группами..
Punkey скрывается в процессе explorer.exe в системах POS Windows до момента активации, после чего сканирует память регистра на наличие данных о владельце карты..
Когда данные платежной карты обнаружены, они направляются на сервер управления и контроля, с которого злоумышленники могут получить их.
Оказавшись на месте, Punkey также может потенциально предоставить доступ к другим частям систем компании, используя кейлоггер (DLLx64.dll)..
Вредоносная программа позволяет регистрировать нажатия клавиш и отправлять их обратно на серверы управления и контроля по 200 нажатий одновременно. Если, таким образом, будут получены имена пользователей и пароли для других областей сети компании, получение доступа к более чем системе POS может быть быстрым для злоумышленников.
Trustwave полагает, что Punkey, который выпускается как в 32-разрядном, так и в 64-разрядном вариантах, находит свое применение в системах с помощью обычных проверенных и проверенных средств – плохой защиты пароля, применяемой к программному обеспечению удаленного доступа, используемого для доступа к системам POS, или из-за человеческой ошибки, например кассиры, использующие счета для других целей, таких как открытие вредоносных писем или просмотр опасных веб-сайтов.
Эрик Мерритт, пишущий для блога Trustwave SpiderLabs, объяснил, как Punkey может искать и затем воровать личные данные, а также «редкую» возможность обновлять себя и дистанционно адаптироваться:
«Это дает Punkey возможность запускать в системе дополнительные инструменты, такие как выполнение инструментов разведки или повышение привилегий. Это редкая функция для вредоносных программ PoS ».
К счастью для ритейлеров, Trustwave разработала инструмент, который может расшифровать трафик Punkey. Расположенный в хранилище программного обеспечения Github, этот инструмент может помочь заинтересованным предприятиям определить, работает ли трафик Punkey по их сетям..
Ритейлеры, конечно же, должны все больше осознавать угрозу, которую представляют собой операции очистки POS RAM..
Помимо хорошо известного в настоящее время случая Target, который был взломан через кассовые аппараты, проблема продолжает вызывать головные боли в отрасли..
Буквально на прошлой неделе в ежегодном отчете Verizon по расследованию нарушений данных было показано, как проникновение систем POS представляет собой серьезную угрозу, и входит в тройку основных причин подтвержденных нарушений данных в 2014 году..
Уже существует три разновидности Punkey, а также NewPosThings и недавно обнаруженный штамм POS-вредоносных программ Poseidon. Похоже, что 2015 год может оказаться хуже для розничной торговли, чем предыдущий..
Главное изображение: scottdavis2 / Dollar Photo Club