En upprorisk ras av POS Malware har upptäckts: Punkey Malware

[ware_item id=33][/ware_item]

ny pos malware


Forskare från säkerhetsföretaget Trustwave har identifierat en ny ras av försäljningsstället (POS) skadlig programvara som en del av en utredning som leddes av US Secret Service.

Sammantaget upptäckte Trustwave-teamet IP-adresserna för mer än 75 infekterade kassaregister, samt en hög med stulna betalningskortsuppgifter.

Det är oklart just nu hur många offer som har fallit byten till den nya skadliga stam som har kallats Punkey.

Upptäckt under analys av flera kommando- och kontrollserver, har Punkey likheter med en annan familj av POS-skadlig programvara som kallas NewPosThings - nyligen upptäckt av forskare på Arbor Networks och Trend Micro - men tillräckligt med skillnader för att klassificeras som en ny stam.

Sedan den första utredningen har Trustwave observerat tre olika versioner av Punkey, vilket antyder att den antingen är anpassad för användning mot specifika detaljhandelsmål eller kontrolleras av flera hackinggrupper.

Punkey döljer sig i processen explorer.exe i Windows POS-system tills den aktiveras, då scannar den sedan registerets minne för korthållardata.

När betalkortdata har upptäckts vidarebefordras de till en kommando- och kontrollserver från vilken angriparna kan hämta dem.

En gång på plats kan Punkey potentiellt gåva åtkomst till andra delar av ett företags system via dess användning av en keylogger (DLLx64.dll).

Det skadliga programmet tillåter att tangenttryckningar fångas och skickas tillbaka till kommandot och kontrollservern, 200 tangenttryckningar åt gången. Om användarnamn och lösenord för andra områden i företagets nätverk sålunda erhålls, kan det vara en lek för angripare att få tillgång till mer än POS-systemet.

Trustwave tror att Punkey, som finns i både 32-bitars och 64-bitars smaker, hittar sin väg till system via de vanliga beprövade medlen - dålig lösenordssäkerhet som används för fjärråtkomstprogramvara som används för att komma åt POS-system, eller via mänskliga fel, t.ex. kassörer som använder kassar för andra ändamål, till exempel att öppna skadliga e-postmeddelanden eller surfa över farliga webbplatser.

Eric Merritt skrev för Trustwaves SpiderLabs-blogg och förklarade hur Punkey kan söka efter och sedan skicka personliga detaljer, liksom den "sällsynta" förmågan att uppdatera sig själv och anpassa sig på distans:

”Detta ger Punkey förmågan att köra ytterligare verktyg i systemet, t.ex. att utföra rekognoseringsverktyg eller utföra privilegieradalering. Detta är en sällsynt funktion för PoS-skadlig programvara. ”

Lyckligtvis för återförsäljare har Trustwave utvecklat ett verktyg som kan dekryptera punkey-trafik. Verktyget ligger på Github, och kan hjälpa berörda företag att avgöra om de har punkey-trafik som kör över sina nätverk.

Återförsäljare behöver naturligtvis bli mer och mer medvetna om hotet med POS RAM-skrotattacker.

Utöver det nu mycket välkända fallet Target, som bryts mot dess kassaapparater, fortsätter frågan att ge huvudvärk för branschen.

Bara förra veckan lyfte Verizons årliga Data Breach Investigations Report upp hur infiltrering av POS-system representerade ett betydande hot, med de tre främsta orsakerna för bekräftade dataöverträdelser under 2014..

Med tre punkter av punkey som redan finns, plus NewPosThings och den nyligen upptäckta Poseidon-stam av POS-skadlig programvara, verkar det som 2015 vara ett sämre år för återförsäljare än det föregående.

Bild: scottdavis2 / Dollar Photo Club

En upprorisk ras av POS Malware har upptäckts: Punkey Malware
admin Author
Sorry! The Author has not filled his profile.