Nul
Onderzoekers hebben ontdekt een nieuwe familie van point-of-sale (PoS) malware die is veel krachtiger dan de kleine omvang zou u geloven.
Zoals gerapporteerd door ThreatPost onderzoekers van Kroll Cyber Security gespot de nieuwe malware, genaamd PinkKite, in 2017.
Het team presenteerden hun bevindingen op de Kaspersky Lab Security Analyst Summit in Cancun, Mexico.
Volgens Kroll Cyber Security, PinkKite werd ontdekt tijdens een onderzoek naar een negen-maanden-PoS campagne, die eindigde in December.
PoS malware is specifiek gericht zijn op point-of-sale-machines, waaronder retail aansluitingen om te stelen van waardevolle gegevens, zoals creditcard-informatie voor het gebruik in kaart klonen, diefstal van identiteit, en voor de verkoop in bulk in de ondergrondse.
Om detectie te vermijden, PoS malware komt vaak met een kleine voetafdruk, maar met een beperkte capaciteit en omvang, er is alleen zo veel mogelijkheden dat het algemeen kan worden ondersteund.
PinkKite, bijvoorbeeld, is minder dan 6k in grootte. Echter, het kleine formaat van de kwaadaardige code die recht doet aan de macht.
PinkKite niet alleen is uitgerust met een geheugen schrapen tools, maar ingebouwde persistentie mechanismen, hard-coded encryptie en een backend infrastructuur voor gegevens exfiltration.
De malware uitvoerbare zich voordoet als een legitieme Microsoft-programma Windows en maakt gebruik van namen zoals Svchost.exe en AG.exe.
Wanneer een systeem is geïnfecteerd — hoewel de technieken voor primaire infectie wordt niet vermeld — de malware zich over een netwerk met PoS-systemen. Credit card gegevens worden geschraapt van het systeem geheugen en een Luhn algoritme wordt gebruikt om geldige credit card nummers.
Deze informatie is gecodeerd en opgeslagen in een gecomprimeerd formaat voordat ze worden verzonden door middel van Remote Desktop Protocol (RDP) sessies te clearinghouses.
De clearinghouses, drie in getal, zijn gevestigd in Zuid-Korea, Canada en Nederland. Gestolen gegevens verstuurd naar deze systemen, in plaats van een standaard command and control (C2) – server vaak gebruikt bij PoS malware.
Elk gecomprimeerd pakket kan maximaal 7.000 credit card nummers.
Volgens de onderzoekers het gebruik van clearinghouses is waarschijnlijk een middel om de aanvallers te “houden een beetje afstand van de PoS-terminals.”
Zie ook: Oracle Micros point-of-sale systeem kwetsbaarheid zet zaken gegevens in gevaar
Kroll Cyber Security is niet gedeelde informatie met betrekking tot de malware-makers of operators. Er is ook geen gegevens beschikbaar over hoeveel credit card nummers kan gestolen zijn, of waar uit.
In februari, Forcepoint onderzoekers vonden een stam van PoS-malware genaamd UDPoS vermomt zich als LogMein software om gegevens te stelen. De malware probeert te smokkelen informatie is gestolen van de terminals als legitieme DNS-verkeer.
Vorige en aanverwante dekking
Malware verstopt zich als LogMein DNS-verkeer naar target point of sale systemen SEC misleidende, malware gehost op ONS anc-server in de nieuwe DNS-aanval NjRat beveiligt de eerste plek als meest actieve netwerk malware in 2017
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0