Atklāta dumpīga POS ļaundabīgo programmu šķirne: Punkey Malware

jauna pozitīva programmatūra


Apsardzes firmas Trustwave pētnieki ASV Slepenā dienesta vadītās izmeklēšanas laikā ir identificējuši jaunu veidu ļaunprātīgu programmatūru pārdošanas vietās (POS)..

Kopumā Trustwave komanda atklāja vairāk nekā 75 inficētu kases aparātu IP adreses, kā arī nozagtu maksājumu karšu datu kaudzi..

Šobrīd nav skaidrs, cik upuru ir kļuvuši par upuriem jaunajam ļaundabīgo programmu celmam, kas nodēvēts par Punkey.

Punkey, kas tika atklāts vairāku komandu un vadības serveru analīzes laikā, ir līdzīgs ar citu POS kaitīgās programmatūras saimi, kas pazīstama kā NewPosThings – nesen to atklājuši Arbor Networks un Trend Micro pētnieki -, tomēr pietiekami daudz atšķirību, lai to klasificētu kā jaunu celmu.

Kopš sākotnējās izmeklēšanas Trustwave ir novērojis trīs dažādas Punkey versijas, kas liek domāt, ka tas ir vai nu pielāgots izmantošanai konkrētiem mazumtirdzniecības mērķiem, vai arī to kontrolē vairākas hakeru grupas.

Punkey slēpj explorer.exe procesā Windows POS sistēmās, līdz tiek aktivizēts, un pēc tam skenē reģistra atmiņu, lai iegūtu datus par kartes turētāju..

Kad maksājumu kartes dati ir atklāti, tie tiek pārsūtīti uz komandu un vadības serveri, no kura uzbrucēji to var iegūt.

Kad tas ir uzstādīts, Punkey var arī dot iespēju piekļūt citām uzņēmuma sistēmu daļām, izmantojot atslēgu bloķētāju (DLLx64.dll)..

Ļaunprātīga programmatūra ļauj tvert taustiņsitienus un nosūtīt atpakaļ uz komandu un vadības serveriem, 200 taustiņu nospiedumus vienlaikus. Ja šādi tiek iegūti lietotājvārdi un paroles citiem uzņēmuma tīkla apgabaliem, piekļuves iegūšana vairāk nekā POS sistēmai varētu būt uzbrucēju brīze.

Trustwave uzskata, ka Punkey, kam ir gan 32 bitu, gan 64 bitu garša, atrod ceļu uz sistēmām, izmantojot parastos izmēģinātos un pārbaudītos līdzekļus – slikta paroles drošība, kas tiek piemērota attālinātās piekļuves programmatūrai, ko izmanto, lai piekļūtu POS sistēmām, vai arī ar cilvēku kļūdu, piemēram, kasieri, kas izmanto rēķinus citiem mērķiem, piemēram, ļaunprātīgu e-pastu atvēršanai vai sērfošanai bīstamās vietnēs.

Rakstot Trustwave SpiderLabs emuārā, Ēriks Merritts paskaidroja, kā Punkey var meklēt un pēc tam nolaupīt personisko informāciju, kā arī “reto” spēju sevi atjaunināt un attālināti pielāgot:

Tas Punkey dod iespēju sistēmā palaist papildu rīkus, piemēram, veikt izlūkošanas rīkus vai veikt privilēģiju eskalāciju. Šī ir reta PoS ļaunprātīgas programmatūras funkcija. ”

Par laimi mazumtirgotājiem, Trustwave ir izstrādājis rīku, kas var atšifrēt Punkey trafiku. Šis rīks, kas atrodas programmatūras krātuvē Github, varētu palīdzēt attiecīgajiem uzņēmumiem noteikt, vai viņu tīklā darbojas Punkey trafiks.

Mazumtirgotājiem, protams, ir arvien vairāk jāapzinās draudi, ko rada POS RAM nokasīšanas uzbrukumi.

Papildus tagad ļoti labi zināmajam Target gadījumam, kas tika pārkāpts, izmantojot tā kases, šis jautājums nozarei turpina radīt galvassāpes..

Tikai pagājušajā nedēļā Verizon gada datu pārkāpumu izmeklēšanas ziņojumā tika uzsvērts, kā POS sistēmu infiltrācija rada nopietnus draudus, norādot trīs galvenos 2014. gadā apstiprināto datu pārkāpumu cēloņus..

Tā kā jau pastāv trīs Punkey celmi, kā arī NewPosThings un arī nesen atklātais POS ļaunprātīgās programmatūras Poseidon celms, šķiet, ka 2015. gads mazumtirgotājiem var izrādīties sliktāks nekā iepriekšējais.

Piedāvātais attēls: scottdavis2 / Dollar Photo Club

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map