发现了一种叛逆的POS恶意软件:Punkey恶意软件

[ware_item id=33][/ware_item]

新pos恶意软件


安全公司Trustwave的研究人员发现了一种新型的销售点(POS)恶意软件,这是由美国特勤局领导的调查的一部分.

总体而言,Trustwave团队发现了超过75个受感染的收银机的IP地址以及一堆被盗的支付卡数据.

目前尚不清楚有多少受害者成为被称为Punkey的新型恶意软件的牺牲品.

Punkey是在分析多个命令和控制服务器的过程中发现的,与另一类称为NewPosThings的POS恶意软件家族具有相似之处-最近由Arbor Networks和趋势科技的研究人员发现-但有足够的差异可归类为新菌株.

自从最初的调查以来,Trustwave已经观察到三种不同版本的Punkey,这表明它要么是针对特定零售目标量身定制的,要么是由多个黑客组织控制的.

Punkey会一直隐藏在Windows POS系统上的explorer.exe进程中,直到被激活为止,然后它会扫描寄存器的内存中是否有持卡人数据.

发现支付卡数据后,会将其转发到命令和控制服务器,攻击者可以从其中获取数据.

一旦安装到位,Punkey还可以通过使用键盘记录器(DLLx64.dll)来授予访问公司系统其他部分的权限。.

该恶意软件允许捕获击键,并一次发送200次击键,并将其发送回命令和控制服务器。如果这样获得了公司网络其他区域的用户名和密码,则对攻击者来说,获得比POS系统更多的访问权限可能是一件轻而易举的事.

Trustwave相信Punkey(具有32位和64位版本)可以通过通常的尝试和测试手段进入系统-不良的密码安全性(用于访问POS系统的远程访问软件)或人为错误(例如,密码错误)。收银员将提款机用于其他目的,例如打开恶意电子邮件或在危险的网站上浏览.

埃里克·梅里特(Eric Merritt)为Trustwave的SpiderLabs博客撰写文章,解释了Punkey如何搜索然后窃取个人详细信息,以及“自我”更新和远程适应的“稀有”能力:

“这使Punkey能够在系统上运行其他工具,例如执行侦查工具或执行特权升级。这是PoS恶意软件的罕见功能。”

对于零售商来说幸运的是,Trustwave开发了一种可以解密Punkey流量的工具。该工具位于软件仓库Github上,可以帮助有关企业确定他们的网络中是否存在Punkey流量.

零售商当然确实需要越来越多地意识到POS RAM刮擦攻击所带来的威胁.

除了现在非常著名的Target案例(通过其收银机突破)外,该问题继续给行业带来麻烦.

就在上周,Verizon的年度数据泄露调查报告强调了POS系统的渗透如何构成重大威胁,这是2014年确认数据泄露的三大原因.

由于已经存在三种Punkey菌株,再加上NewPosThings以及最近还发现的POS恶意软件Poseidon菌株,对于零售商来说,2015年可能比前一年更糟.

特色图片:scottdavis2 / Dollar Photo Club

发现了一种叛逆的POS恶意软件:Punkey恶意软件
admin Author
Sorry! The Author has not filled his profile.