En opprørsk ras av POS Malware er blitt oppdaget: Punkey Malware

[ware_item id=33][/ware_item]

ny pos malware


Forskere fra sikkerhetsselskapet Trustwave har identifisert en ny rase av point-of-sale-malware (POS) som en del av en etterforskning ledet av US Secret Service.

Totalt sett oppdaget Trustwave-teamet IP-adressene til mer enn 75 smittede kassaapparater, samt en bunke med stjålne betalingskortdata.

Det er uklart på dette tidspunktet hvor mange ofre som har falt for den nye belastningen av malware som har blitt kalt Punkey.

Punkey ble oppdaget under analyse av flere kommando- og kontrollservere, og har likheter med en annen familie av POS-malware kjent som NewPosThings - nylig oppdaget av forskere ved Arbor Networks og Trend Micro - men likevel nok forskjeller til å klassifiseres som en ny belastning.

Siden den første undersøkelsen har Trustwave observert tre forskjellige versjoner av Punkey, noe som antyder at den enten blir skreddersydd for bruk mot spesifikke detaljhandelsmål, eller blir kontrollert av flere hackinggrupper.

Punkey skjuler seg i explorer.exe-prosessen på Windows POS-systemer til den er aktivert, og deretter skanner den registerets minne etter kortholderdata.

Når betalingskortdata er oppdaget, blir de videresendt til en kommando- og kontrollserver som angriperne kan hente dem fra.

Når den er på plass, kan Punkey også potensielt gi tilgang til andre deler av selskapets systemer ved bruk av en keylogger (DLLx64.dll).

Den skadelige programvaren lar tastetrykk fanges og sendes tilbake til kommando- og kontrollservere, 200 tastetrykk om gangen. Hvis brukernavn og passord for andre områder av selskapets nettverk oppnås, kan det å få tilgang til mer enn POS-systemet være en lek for angripere.

Trustwave mener Punkey, som kommer i både 32-biters og 64-biters smaker, finner veien til systemer via de vanlige velprøvde midlene - dårlig passordsikkerhet brukt til ekstern tilgangsprogramvare som brukes til å få tilgang til POS-systemer, eller via menneskelig feil, f.eks. kasserere som bruker kasseroller til andre formål, for eksempel å åpne ondsinnede e-poster eller surfe på farlige nettsteder.

Eric Merritt skrev for Trustwaves SpiderLabs-blogg og forklarte hvordan Punkey kan søke etter og deretter pilfer personlige detaljer, samt den "sjeldne" muligheten til å oppdatere seg selv og tilpasse seg eksternt:

“Dette gir Punkey muligheten til å kjøre flere verktøy på systemet, for eksempel å utføre rekognoseringsverktøy eller utføre privilegier. Dette er en sjelden funksjon for PoS-skadelig programvare. ”

Heldigvis for detaljister har Trustwave utviklet et verktøy som kan dekryptere punkey-trafikk. Verktøyet ligger på programvarelageret Github, og kan hjelpe berørte bedrifter å avgjøre om de har punkey-trafikk som kjører over nettverkene sine.

Forhandlere trenger selvfølgelig å være mer og mer bevisste på trusselen fra skrapeangrep fra POS RAM.

Utover den nå veldig velkjente saken om Target, som ble brutt via kassaapparatene, fortsetter problemet å gi hodepine for bransjen.

Bare forrige uke fremhevet Verizons årlige dataovertredelsesrapport om hvordan infiltrasjon av POS-systemer representerte en betydelig trussel, og inneholder blant de tre viktigste årsakene til bekreftede datainnbrudd i løpet av 2014.

Med tre stammer av Punkey som allerede eksisterer, pluss NewPosThings og den også nylig oppdagede Poseidon-stammen av POS-malware, virker det som 2015 kan vise seg å være et dårligere år for detaljister enn det foregående.

Utvalgt bilde: scottdavis2 / Dollar Photo Club

En opprørsk ras av POS Malware er blitt oppdaget: Punkey Malware
admin Author
Sorry! The Author has not filled his profile.