تم اكتشاف مجموعة متمردة من POS Malware: Punkey Malware

[ware_item id=33][/ware_item]

البرمجيات الخبيثة الجديدة


حدد باحثون من شركة Trustwave الأمنية مجموعة جديدة من البرمجيات الخبيثة في نقاط البيع (POS) كجزء من تحقيق بقيادة جهاز الاستخبارات الأمريكية.

بشكل عام ، اكتشف فريق Trustwave عناوين IP لأكثر من 75 سجلًا نقديًا مصابًا ، بالإضافة إلى كومة من بيانات بطاقة الدفع المسروقة.

ليس من الواضح في هذا الوقت عدد الضحايا الذين وقعوا فريسة للسلالة الجديدة من البرامج الضارة التي أطلق عليها اسم Punkey.

اكتشف Punkey أثناء تحليل خوادم القيادة والتحكم المتعددة ، أوجه تشابه مع عائلة أخرى من البرمجيات الخبيثة لنقاط البيع المعروفة باسم NewPosThings - اكتشفها مؤخرًا باحثون في Arbor Networks و Trend Micro - مع وجود اختلافات كافية لتصنيفها على أنها سلالة جديدة.

منذ التحقيق الأولي ، لاحظت Trustwave ثلاثة إصدارات مختلفة من Punkey ، مما يشير إلى أنه إما تم تصميمه للاستخدام مع أهداف محددة للبيع بالتجزئة ، أو يتم التحكم فيه بواسطة مجموعات اختراق متعددة.

يخفي Punkey نفسه داخل عملية explorer.exe على أنظمة Windows POS حتى يتم تفعيله ، وعندها يقوم بمسح ذاكرة السجل للحصول على بيانات حامل البطاقة.

عند اكتشاف بيانات بطاقة الدفع ، يتم إعادة توجيهها إلى خادم الأوامر والتحكم الذي يمكن للمهاجمين استرجاعها منه.

بمجرد الوصول إلى موقع Punkey ، يُمكن أيضًا منح إمكانية الوصول إلى الهدايا إلى أجزاء أخرى من أنظمة الشركة من خلال استخدامها لكلوغر (DLLx64.dll).

تسمح البرامج الضارة بالتقاط ضغطات المفاتيح وإرسالها مرة أخرى إلى خوادم الأوامر والتحكم ، 200 ضغطات المفاتيح في وقت واحد. إذا تم الحصول على أسماء مستخدمين وكلمات مرور لمناطق أخرى من شبكة الشركة ، فقد يكون الوصول إلى أكثر من نظام POS أمرًا سهلاً للمهاجمين.

تعتقد Trustwave أن Punkey ، الذي يأتي في النكهات 32 بت و 64 بت ، يجد طريقه إلى الأنظمة عبر الوسائل المعتادة والمجرّبة - يتم تطبيق أمان كلمة المرور الرديء على برامج الوصول عن بُعد المستخدمة للوصول إلى أنظمة POS ، أو عن طريق الخطأ البشري ، على سبيل المثال يستخدم الصرافون أغراضاً أخرى ، مثل فتح رسائل البريد الإلكتروني الضارة أو تصفح المواقع الخطرة.

من خلال كتابة مدونة Trustwave's SpiderLabs ، أوضح إريك ميريت كيف يمكن لـ Punkey البحث عن التفاصيل الشخصية ثم تسرقها ، بالإضافة إلى القدرة "النادرة" على تحديث نفسه والتكيف عن بُعد:

"هذا يمنح Punkey القدرة على تشغيل أدوات إضافية على النظام مثل تنفيذ أدوات الاستطلاع أو إجراء تصعيد الامتياز. هذه ميزة نادرة لبرامج ضارة PoS. "

لحسن الحظ لتجار التجزئة ، قامت Trustwave بتطوير أداة يمكنها فك تشفير حركة Punkey. يمكن للأداة ، التي تقع على مستودع البرامج Github ، أن تساعد الشركات المعنية على تحديد ما إذا كان لديهم حركة مرور Punkey تعمل عبر شبكاتهم أم لا.

يحتاج تجار التجزئة بالطبع إلى أن يكونوا على وعي متزايد بالتهديد الذي تشكله هجمات POS RAM القاتلة.

إلى جانب حالة Target المعروفة الآن ، والتي تم اختراقها من خلال سجلات النقد الخاصة بها ، تستمر المشكلة في عرض الصداع على الصناعة.

في الأسبوع الماضي فقط ، أبرز تقرير التحقيقات في خرق البيانات السنوي من Verizon كيف كان اختراق أنظمة نقاط البيع يمثل تهديدًا كبيرًا ، حيث ظهر في أهم ثلاثة أسباب لانتهاكات البيانات المؤكدة خلال عام 2014.

مع وجود ثلاث سلالات من Punkey بالفعل ، بالإضافة إلى NewPosThings وسلالة Poseidon التي تم اكتشافها مؤخرًا من البرامج الضارة لنظام POS ، يبدو أن عام 2015 قد يكون عامًا أسوأ بالنسبة لتجار التجزئة مقارنة بالفترة السابقة.

صورة مميزة: scottdavis2 / دولار صور نادي

تم اكتشاف مجموعة متمردة من POS Malware: Punkey Malware
admin Author
Sorry! The Author has not filled his profile.