A fost descoperită o rasă rebelă de POS Malware: Punkey Malware

nou malware post

Cercetătorii de la firma de securitate Trustwave au identificat o nouă rasă de programe de vânzare (POS) malware ca parte a unei anchete conduse de Serviciul Secret al SUA.

În general, echipa Trustwave a descoperit adresele IP ale mai mult de 75 de case de marcat infectate, precum și o grămadă de date de carduri de plată furate.

În acest moment nu este clar cât de multe victime au căzut pradă noii tulpini de malware care a fost supranumită Punkey.

Descoperită în timpul analizei mai multor servere de comandă și control, Punkey are asemănări cu o altă familie de malware POS cunoscută sub numele de NewPosThings – descoperită recent de cercetătorii de la Arbor Networks și Trend Micro – totuși suficiente diferențe pentru a fi clasificate drept o nouă tulpină..

Încă de la ancheta inițială, Trustwave a observat trei versiuni diferite ale Punkey, sugerând că este fie adaptat pentru utilizare împotriva țintelor specifice de vânzare cu amănuntul, fie controlat de mai multe grupuri de hacking.

Punkey se ascunde în cadrul procesului explorer.exe în sistemele POS Windows până când este activat, moment în care apoi scanează memoria registrului pentru datele deținătorului de card.

Când datele cardului de plată au fost descoperite, acestea sunt transmise către un server de comandă și control de pe care atacatorii îl pot prelua.

Odată ce a fost în loc, Punkey poate, de asemenea, să ofere un acces cadou la alte părți ale sistemelor unei companii prin utilizarea unui keylogger (DLLx64.dll).

Programul malware permite capturarea tastelor cheie și trimiterea înapoi către serverele de comandă și control, 200 de apăsări de taste simultan. Dacă se obțin astfel numele de utilizator și parolele pentru alte zone din rețeaua companiei, accesul la mai mult decât sistemul POS ar putea fi o adiere pentru atacatori.

Trustwave consideră că Punkey, care are atât arome de 32 de biți, cât și 64 de biți, își găsește calea către sisteme prin mijloacele obișnuite încercate – o securitate slabă a parolei aplicată software-ului de acces la distanță folosit pentru a accesa sisteme POS, sau prin eroare umană, de ex. casierii folosind caroseria în alte scopuri, cum ar fi deschiderea de e-mailuri rău intenționate sau navigarea pe site-uri web periculoase.

Scriind pentru blogul SpiderLabs de Trustwave, Eric Merritt a explicat cum Punkey poate căuta și apoi amănui datele personale, precum și „rara” capacitate de a se actualiza și adapta de la distanță:

„Acest lucru oferă Punkey capacitatea de a rula instrumente suplimentare pe sistem, cum ar fi executarea instrumentelor de recunoaștere sau efectuarea escaladării privilegiilor. Aceasta este o caracteristică rară pentru malware-ul PoS. “

Din fericire pentru retaileri, Trustwave a dezvoltat un instrument care poate decripta traficul Punkey. Situat pe depozitul de software Github, instrumentul ar putea ajuta întreprinderile în cauză să stabilească dacă au trafic Punkey care rulează prin rețelele lor.

Desigur, comercianții cu amănuntul trebuie să fie din ce în ce mai conștienți de amenințarea pe care o reprezintă atacurile de răzuire RAM POS.

Dincolo de cazul acum foarte cunoscut al țintei, care a fost încălcat prin casele de marcat, problema continuă să prezinte dureri de cap industriei.

Saptamana trecuta, raportul anual al investigatiilor privind incalcarea datelor in Verizon a evidentiat modul in care infiltrarea sistemelor POS reprezinta o amenintare semnificativa, prezentand in primele trei cauze ale incalcarii datelor confirmate in 2014.

Cu trei tulpini de Punkey existente deja, plus NewPosThings și, de asemenea, recent descoperită Poseidon tulpină de malware POS, se pare că 2015 se poate dovedi a fi un an mai rău pentru comercianți cu amănuntul precedent.

Imagine prezentată: scottdavis2 / Dollar Photo Club

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me