È stata scoperta una razza ribelle di malware POS: Punkey Malware

[ware_item id=33][/ware_item]

nuovo malware pos


I ricercatori della società di sicurezza Trustwave hanno identificato una nuova generazione di malware nei punti vendita (POS) nell'ambito di un'indagine condotta dal Servizio segreto degli Stati Uniti.

Complessivamente, il team Trustwave ha scoperto gli indirizzi IP di oltre 75 registratori di cassa infetti, nonché una pila di dati di carte di pagamento rubate.

Non è chiaro in questo momento quante vittime siano cadute in preda al nuovo ceppo di malware che è stato soprannominato Punkey.

Scoperto durante l'analisi di più server di comando e controllo, Punkey ha somiglianze con un'altra famiglia di malware POS nota come NewPosThings - recentemente scoperta dai ricercatori di Arbor Networks e Trend Micro - ma abbastanza differenze per essere classificata come un nuovo ceppo.

Dalla prima indagine, Trustwave ha osservato tre diverse versioni di Punkey, suggerendo che è stato adattato per l'uso contro specifici obiettivi di vendita al dettaglio o controllato da più gruppi di hacking.

Punkey si nasconde all'interno del processo explorer.exe sui sistemi POS Windows fino a quando non viene attivato, a quel punto scansiona la memoria del registro per i dati dei titolari di carta.

Quando i dati della carta di pagamento sono stati rilevati, vengono inoltrati a un server di comando e controllo dal quale gli attaccanti possono recuperarli.

Una volta installato, Punkey può anche potenzialmente offrire accesso ad altre parti dei sistemi di una società tramite l'uso di un keylogger (DLLx64.dll).

Il malware consente di catturare e inviare i tasti premuti ai server di comando e controllo, 200 tasti alla volta. Se si ottengono nomi utente e password per altre aree della rete aziendale, accedere a più del sistema POS potrebbe essere un gioco da ragazzi per gli aggressori.

Trustwave ritiene che Punkey, disponibile in versioni a 32 e 64 bit, si trovi sui sistemi tramite i soliti mezzi provati e testati: scarsa sicurezza della password applicata al software di accesso remoto utilizzato per accedere ai sistemi POS o tramite errore umano, ad es. cassieri che utilizzano cazzuole per altri scopi, come l'apertura di e-mail malevoli o la navigazione su siti Web pericolosi.

Scrivendo per il blog SpiderLabs di Trustwave, Eric Merritt ha spiegato come Punkey può cercare e quindi rubare dettagli personali, nonché la "rara" capacità di aggiornarsi e adattarsi da remoto:

“Ciò offre a Punkey la possibilità di eseguire strumenti aggiuntivi sul sistema come l'esecuzione di strumenti di ricognizione o l'esecuzione di escalation di privilegi. Questa è una caratteristica rara per il malware PoS. "

Fortunatamente per i rivenditori, Trustwave ha sviluppato uno strumento in grado di decrittografare il traffico Punkey. Situato sul repository software Github, lo strumento potrebbe aiutare le aziende interessate a determinare se il traffico Punkey è in esecuzione sulle loro reti.

Ovviamente i rivenditori devono essere sempre più consapevoli della minaccia rappresentata dagli attacchi di raschiamento POS RAM.

Oltre al caso ormai molto noto di Target, che è stato violato attraverso i suoi registratori di cassa, il problema continua a presentare mal di testa al settore.

Proprio la scorsa settimana, il rapporto annuale sulle indagini sulle violazioni dei dati di Verizon ha evidenziato come l'infiltrazione di sistemi POS rappresentasse una minaccia significativa, tra le prime tre cause di violazioni confermate dei dati nel 2014.

Con tre ceppi di Punkey già esistenti, oltre a NewPosThings e al ceppo Poseidon di malware POS recentemente scoperto, sembra che il 2015 potrebbe rivelarsi un anno peggiore per i rivenditori rispetto al precedente.

Immagine in primo piano: scottdavis2 / Dollar Photo Club

È stata scoperta una razza ribelle di malware POS: Punkey Malware
admin Author
Sorry! The Author has not filled his profile.