Noll
Forskare har upptäckt en ny familj av point-of-sale (PoS) skadlig kod som är betydligt mer kraftfull än sin ringa storlek skulle få er att tro.
Som rapporterats av ThreatPost, forskare från Kroll Cyber Security upptäckte nya malware, dubbade PinkKite, i och med 2017.
Gruppen presenterade sina resultat vid Kaspersky Lab Säkerhet Analytiker Toppmötet i Cancun, Mexiko.
Enligt Kroll It-Säkerhet, PinkKite avslöjades under en utredning av en nio-månaders PoS kampanj som avslutades i December.
PoS malware är speciellt utformade för att rikta point-of-sale-maskiner inklusive detaljhandeln terminaler för att stjäla värdefulla data såsom kreditkortsuppgifter för användning inom kort kloning, identitetsstöld, och för försäljning i lösvikt i tunnelbanan.
För att undvika upptäckt, PoS malware kommer ofta med en liten yta, men med en begränsad kapacitet och storlek, det är bara så många möjligheter som i allmänhet kan stödjas.
PinkKite, till exempel, är mindre än 6k i storlek. Men den lilla storleken av skadlig kod som motsäger dess makt.
PinkKite inte bara utrustad med minne skrapning verktyg, men inbyggd uthållighet mekanismer, hårdkodade kryptering, och en backend-infrastruktur för data exfiltration.
Den skadliga körbara maskerader sig som ett legitimt Microsoft Windows-program och använder namn som Svchost.exe och AG.exe.
När ett system har smittats — även om de metoder för primär infektion har inte redovisats — malware rör sig över ett nätverk till PoS-system. Kreditkortsuppgifter är sedan skrapas från systemets minne och en Luhn-algoritmen används för att giltigt kreditkortsnummer.
Denna information krypteras och lagras i ett komprimerat format innan de skickas via RDP (Remote Desktop Protocol) sessioner och clearinghus.
Den clearinginstitut, tre till antalet, är baserat i Sydkorea, Kanada och Nederländerna. Stulna data skickas till dessa system i stället för en vanlig styrning och kontroll (C2) server ofta används av PoS malware.
Varje komprimerade paket kan lagra upp till 7 000 kreditkortsnummer.
Enligt forskarna, användning av clearinginstitut sannolikt kommer att vara ett sätt för en angripare att “hålla lite avstånd från PoS-terminaler”.
Se även: Oracle Micros point-of-sale-system sårbarhet sätter affärsdata på risk
Kroll It-Säkerhet har inte delat med någon information om skadlig programvara är upphovsmän eller operatörer. Det finns heller inga uppgifter om hur många kortnummer kan ha stulits, eller varifrån.
I februari, Forcepoint forskare hittat en stam av PoS skadlig kod som kallas UDPoS döljer sig som LogMein program för att stjäla data. Den malware försök att smuggla information som stulits från terminaler ut som legitima DNS-trafik.
Tidigare och relaterade täckning
Skadliga program som döljer LogMein DNS-trafik till target point of sale-system SEK falska, malware värd på OSS gov ‘ t server i nya DNS-attack NjRat säkrar förstaplatsen som mest aktivt nätverk malware 2017
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0