Keturunan Malware POS telah ditemui: Punkey Malware

malware pos baru

Penyelidik dari Trustwave firma keselamatan telah mengenal pasti satu malware jenis jualan mata wang (POS) yang baru sebagai sebahagian daripada siasatan yang diketuai oleh Perkhidmatan Rahsia AS.

Secara keseluruhannya, pasukan Trustwave menemui alamat IP lebih dari 75 daftar tunai yang dijangkiti, serta tumpukan data kad pembayaran yang dicuri.

Tidak jelas pada masa ini betapa banyak mangsa telah menjadi mangsa kepada masalah baru malware yang telah dijuluki Punkey.

Ditemui semasa analisis beberapa pelayan arahan dan kawalan, Punkey mempunyai persamaan dengan keluarga malware POS lain yang dikenali sebagai NewPosThings – baru-baru ini ditemui oleh para penyelidik di Arbor Networks dan Trend Micro – namun perbezaan yang cukup untuk diklasifikasikan sebagai strain baru.

Sejak penyiasatan awal, Trustwave telah mengamati tiga versi yang berbeza dari Punkey, menunjukkan bahawa ia sama ada disesuaikan untuk digunakan terhadap sasaran runcit tertentu, atau dikendalikan oleh beberapa kumpulan hacking.

Punkey menyembunyikan dirinya dalam proses explorer.exe pada sistem Windows POS sehingga diaktifkan, di mana ia kemudian memindai memori daftar untuk data pemegang kad.

Apabila data kad pembayaran telah ditemui, ia diteruskan ke pelayan perintah dan kawalan yang mana penyerang boleh mengambilnya.

Setelah berada di tempat, Punkey juga berpotensi memberi akses ke bahagian lain sistem syarikat melalui penggunaan keylogger (DLLx64.dll).

Malware ini membolehkan ketukan kekunci ditangkap dan dihantar semula ke pelayan arahan dan kawalan, 200 ketukan kekunci pada satu masa. Sekiranya nama pengguna dan kata laluan untuk bidang lain dalam rangkaian syarikat diperolehi, mendapat akses ke lebih daripada sistem POS boleh menjadi mudah untuk penyerang.

Trustwave percaya punkey, yang terdapat dalam kedua-dua 32-bit dan 64-bit perisa, menjejaki sistem melalui cara biasa dan diuji – keselamatan kata laluan yang lemah digunakan untuk perisian akses jauh yang digunakan untuk mengakses sistem POS, atau melalui ralat manusia, mis. juruwang menggunakan kilang untuk tujuan lain, seperti membuka e-mel yang berniat jahat atau melayari laman web berbahaya.

Menulis untuk blog SpiderLab’s Trustwave, Eric Merritt menerangkan bagaimana punkey boleh mencari dan kemudian mengambil maklumat peribadi, serta keupayaan “jarang” untuk mengemas kini dan menyesuaikan diri dari jauh:

“Ini memberi Punkey keupayaan untuk menjalankan alat tambahan pada sistem seperti melaksanakan alat peninjauan atau melakukan peningkatan keistimewaan. Ini adalah satu ciri yang jarang berlaku untuk malware PoS. “

Nasib baik untuk peruncit, Trustwave telah membangunkan alat yang boleh menyahsulit lalu lintas Punkey. Terletak di repositori perisian Github, alat ini boleh membantu perniagaan yang bersangkutan menentukan sama ada mereka mempunyai lalu lintas Punkey yang menjalankan rangkaian mereka.

Peruncit tentu saja perlu semakin sedar akan ancaman yang ditimbulkan oleh serangan POS RAM yang mengikis.

Di luar sasaran Sasaran yang sangat terkenal sekarang, yang telah dilanggar melalui daftar tunai, masalah itu terus menunjukkan sakit kepala kepada industri.

Seminggu lepas, Laporan Penyiasatan Pelanggaran Data tahunan Verizon menekankan bagaimana penyusupan sistem POS mewakili ancaman yang ketara, yang memaparkan dalam tiga sebab utama bagi pelanggaran data yang disahkan semasa 2014.

Dengan tiga jenis punkey yang sudah ada, ditambah NewPosThings dan yang baru-baru ini menemui strain Poseidon POS malware, nampaknya 2015 mungkin membuktikan menjadi tahun yang lebih buruk untuk peruncit daripada yang sebelumnya.

Imej yang diketengahkan: scottdavis2 / Kelab Photo Dollar

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me