พบมัลแวร์ POS ที่ก่อกบฏแล้ว: Punkey Malware

[ware_item id=33][/ware_item]

มัลแวร์ pos ใหม่


นักวิจัยจาก บริษัท รักษาความปลอดภัย Trustwave ได้ระบุมัลแวร์ใหม่ ณ จุดขาย (POS) เป็นส่วนหนึ่งของการสอบสวนที่นำโดย US Secret Service.

โดยรวมทีม Trustwave ค้นพบที่อยู่ IP ของเครื่องบันทึกเงินสดที่ติดเชื้อมากกว่า 75 รายการรวมถึงข้อมูลบัตรชำระเงินที่ถูกขโมย.

ตอนนี้ยังไม่ชัดเจนว่ามีเหยื่อกี่คนที่ตกเป็นเหยื่อของสายพันธุ์ใหม่ของมัลแวร์ที่ถูกขนานนามว่า Punkey.

ค้นพบระหว่างการวิเคราะห์เซิร์ฟเวอร์คำสั่งและเซิร์ฟเวอร์ควบคุมหลายตัว Punkey มีความคล้ายคลึงกับตระกูล POS ของมัลแวร์ที่รู้จักกันในชื่อ NewPosThings ซึ่งเพิ่งค้นพบโดยนักวิจัยที่ Arbor Networks และ Trend Micro - แต่ความแตกต่างที่พอจะจัดเป็นสายพันธุ์ใหม่.

ตั้งแต่การตรวจสอบเบื้องต้น Trustwave ได้ตรวจสอบ Punkey รุ่นที่แตกต่างกันสามแบบซึ่งบ่งบอกว่ามันถูกปรับให้เหมาะกับเป้าหมายการค้าปลีกที่เฉพาะเจาะจงหรือถูกควบคุมโดยกลุ่มแฮ็คหลายกลุ่ม.

Punkey ซ่อนตัวเองภายในกระบวนการ explorer.exe บนระบบ Windows POS จนกระทั่งเปิดใช้งาน ณ จุดนั้นมันจะสแกนหน่วยความจำของการลงทะเบียนสำหรับข้อมูลผู้ถือบัตร.

เมื่อข้อมูลบัตรชำระเงินถูกค้นพบข้อมูลจะถูกส่งต่อไปยังเซิร์ฟเวอร์คำสั่งและเซิร์ฟเวอร์ควบคุมที่ผู้โจมตีสามารถเรียกดูได้.

ครั้งหนึ่งในสถานที่ Punkey สามารถมอบของขวัญให้แก่การเข้าถึงส่วนอื่น ๆ ของระบบของ บริษัท ผ่านการใช้ keylogger (DLLx64.dll).

มัลแวร์ช่วยให้การกดแป้นสามารถบันทึกและส่งกลับไปยังเซิร์ฟเวอร์คำสั่งและการควบคุมได้ครั้งละ 200 การกดแป้น หากได้รับชื่อผู้ใช้และรหัสผ่านสำหรับพื้นที่อื่น ๆ ของเครือข่ายของ บริษัท การเข้าถึงมากกว่าระบบ POS อาจเป็นเรื่องง่ายสำหรับผู้โจมตี.

Trustwave เชื่อว่า Punkey ซึ่งมีทั้งแบบ 32 บิตและ 64 บิตนั้นหาทางเข้าสู่ระบบผ่านการทดลองและทดสอบตามปกติ - การรักษาความปลอดภัยด้วยรหัสผ่านที่ไม่ดีนำไปใช้กับซอฟต์แวร์การเข้าถึงระยะไกลที่ใช้ในการเข้าถึงระบบ POS หรือผ่านข้อผิดพลาดของมนุษย์เช่น พนักงานเก็บเงินที่ใช้ tills เพื่อจุดประสงค์อื่นเช่นเปิดอีเมลที่เป็นอันตรายหรือท่องเว็บไซต์ที่เป็นอันตราย.

Eric Merritt เขียนบล็อก SpiderLabs ของ Trustwave อธิบายวิธีที่ Punkey สามารถค้นหาและขโมยข้อมูลส่วนตัวรวมถึงความสามารถที่“ หายาก” ในการอัปเดตตัวเองและปรับใช้จากระยะไกล:

“ สิ่งนี้ทำให้ Punkey มีความสามารถในการใช้เครื่องมือเพิ่มเติมในระบบเช่นการใช้งานเครื่องมือลาดตระเวนหรือการเพิ่มระดับสิทธิ์ นี่เป็นคุณสมบัติที่หายากสำหรับมัลแวร์ PoS”

โชคดีสำหรับผู้ค้าปลีก Trustwave ได้พัฒนาเครื่องมือที่สามารถถอดรหัสปริมาณการใช้ Punkey เครื่องมือนี้สามารถช่วยให้ธุรกิจที่เกี่ยวข้องทราบว่าพวกเขามีการรับส่งข้อมูล Punkey บนเครือข่ายของพวกเขาหรือไม่.

แน่นอนว่าผู้ค้าปลีกจำเป็นต้องตระหนักถึงภัยคุกคามที่เกิดจากการโจมตีด้วยการขูดขีด POS RAM.

นอกเหนือจากกรณีที่เป็นที่รู้จักกันดีในขณะนี้ของ Target ซึ่งถูกละเมิดผ่านการลงทะเบียนเงินสดของปัญหายังคงนำเสนออาการปวดหัวกับอุตสาหกรรม.

เมื่อสัปดาห์ที่แล้วรายงานการตรวจสอบการละเมิดข้อมูลประจำปีของ Verizon ได้เน้นว่าการแทรกซึมของระบบ POS แสดงถึงการคุกคามที่สำคัญโดยมีสาเหตุสามอันดับแรกสำหรับการรั่วไหลของข้อมูลที่ได้รับการยืนยันในปี 2014.

ด้วย Punkey สามสายพันธุ์ที่มีอยู่แล้วบวกกับ NewPosThings และ Poseidon สายพันธุ์ POS ที่มีการค้นพบเมื่อเร็ว ๆ นี้ดูเหมือนว่าปี 2015 อาจพิสูจน์ได้ว่าเป็นปีที่เลวร้ายสำหรับผู้ค้าปลีกมากกว่าผู้ค้ารายก่อนหน้า.

ภาพเด่น: scottdavis2 / Dollar Photo Club

พบมัลแวร์ POS ที่ก่อกบฏแล้ว: Punkey Malware
admin Author
Sorry! The Author has not filled his profile.