Zero
I ricercatori hanno scoperto una nuova famiglia di point-of-sale (PoS) di malware che è molto più potente rispetto alla sua piccola dimensione vorrebbero far credere.
Come riportato da ThreatPost, i ricercatori Kroll Cyber Security individuato il nuovo malware, soprannominato PinkKite, nel 2017.
I team hanno presentato i loro risultati alla Kaspersky Lab Security Analyst Summit di Cancun, in Messico.
Secondo Kroll, Cyber Security, PinkKite è stato scoperto nel corso di un’indagine in nove mesi di PoS campagna che si è conclusa nel mese di dicembre.
PoS malware è progettato specificamente per target point-of-sale macchine tra cui retail terminali per rubare dati importanti come le informazioni della carta di credito per l’utilizzo in carta di clonazione, furto di identità, e per la vendita in massa nel sottosuolo.
Al fine di evitare il rilevamento, PoS malware viene spesso con un ingombro ridotto, ma con una limitata capacità e dimensioni, c’è solo così tante funzioni che, generalmente, possono essere supportati.
PinkKite, per esempio, è meno di 6k dimensioni. Tuttavia, le piccole dimensioni del codice dannoso smentisce la sua potenza.
PinkKite non solo è dotato di memoria raschiare strumenti, ma built-in meccanismi di persistenza, hard-coded di crittografia, e una infrastruttura di backend per i dati di esfiltrazione.
Il malware eseguibile si maschera come un legittimo programma di Microsoft Windows e utilizza nomi come Svchost.exe e AG.exe.
Quando un sistema è stato infettato — sebbene le tecniche per l’infezione primaria non sono state rese note — il malware si muove attraverso una rete di sistemi PoS. Dati della carta di credito è quindi raschiato dalla memoria di sistema e un algoritmo di Luhn viene utilizzato per valido numeri di carta di credito.
Queste informazioni vengono crittografati e memorizzati in un formato compresso prima di essere inviato tramite il Remote Desktop Protocol (RDP) sessioni a stanze di compensazione.
Le stanze di compensazione, in numero di tre, sono basati in Corea del Sud, Canada e paesi Bassi. Il furto di dati viene inviato a questi sistemi, piuttosto che un standard di comando e controllo (C2) il server spesso utilizzato da PoS malware.
Ogni pacchetto compresso in grado di memorizzare fino a 7.000 numeri di carta di credito.
Secondo i ricercatori, l’uso di stanze di compensazione è probabile che sia un mezzo per gli attaccanti di “mantenere un po’ di distanza dai terminali PoS.”
Vedi anche: Oracle Micros punto di vendita sistema di vulnerabilità mette dati aziendali a rischio
Kroll Cyber Security non ha condiviso alcuna informazione riguardante i creatori di malware o operatori. C’è, inoltre, non sono disponibili dati sul numero di numeri di carte di credito potrebbe essere stato rubato, o dove.
Nel mese di febbraio, Forcepoint i ricercatori hanno trovato un ceppo di PoS malware chiamato UDPoS traveste come LogMein software per rubare dati. Il malware tenta di contrabbandare informazioni rubate da terminali come legittimo il traffico DNS.
Precedente e relativa copertura
Il Malware si nasconde come LogMein il traffico DNS di destinazione punto di sistemi di vendita SEC contraffatti, malware ospitato su NOI gov’t server DNS nuovo attacco NjRat assicura il primo posto, come la maggior parte di rete attiva di malware nel 2017
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0