גזע מורד של POS Malware התגלה: Punkey Malware

תוכנות זדוניות חדשות


חוקרים ממשרד האבטחה Trustwave זיהו זן חדש של תוכנות זדוניות של נקודת מכירה (POS) כחלק מחקירה שהובילה השירות החשאי האמריקני..

בסך הכל, צוות Trustwave גילה את כתובות ה- IP של יותר מ- 75 קופות רושמות נגועות, כמו גם ערימה של נתוני כרטיסי תשלום שגנבו..

לא ברור כרגע כמה קורבנות נפלו טרף לזן החדש של תוכנות זדוניות שזכה לכינוי פונקי.

ל- Punkey התגלה במהלך ניתוח של שרתי פקודות ובקרה מרובים, יש קווי דמיון עם משפחה נוספת של תוכנות זדוניות מסוג POS המכונה NewPosThings – שהתגלו לאחרונה על ידי חוקרים בארבור נטוורקס ו- Trend Micro – ובכל זאת מספיק הבדלים כדי לסווג זן חדש.

מאז החקירה הראשונית, Trustwave צפה בשלוש גרסאות שונות של פאנקי, מה שמרמז שהוא מותאם לשימוש כנגד יעדים קמעונאיים ספציפיים, או שהוא נשלט על ידי קבוצות פריצה מרובות..

פאנקיי מסתיר את עצמו בתהליך explorer.exe במערכות קופה של Windows עד שהוא מופעל, ואז הוא סורק את זיכרון הפנקס עבור נתוני בעל כרטיס..

כאשר התגלה נתוני כרטיסי תשלום, הם מועברים לשרת פקודה ובקרה שממנו יוכלו התוקפים לאחזר אותם.

ברגע שהוא נמצא במקום, Punkey יכול גם לספק גישה לחלקים אחרים במערכות החברה באמצעות השימוש בו ב- keylogger (DLLx64.dll).

התוכנה הזדונית מאפשרת לכידת הקשות ולחזור לשרתי הפקודה והבקרה, 200 הקשות בכל פעם. אם כך מתקבלות שמות משתמש וסיסמאות לאזורים אחרים ברשת החברה, קבלת גישה ליותר ממערכת קופה יכולה להיות רוח עבור התוקפים.

Trustwave מאמין ש- Punkey, שמגיע בטעמים של 32 סיביות וגם של 64 סיביות, מוצא את דרכו למערכות באמצעים המקובלים והבדיקים – אבטחת סיסמא לקויה המיושמת על תוכנת גישה מרחוק המשמשת לגישה למערכות קופה, או באמצעות שגיאה אנושית, למשל. קופאיות המשתמשות בתיקים למטרות אחרות, כמו פתיחת מיילים זדוניים או גלישה באתרים מסוכנים.

אריק מריט, שכתב לבלוג ה- SpiderLabs של Trustwave, הסביר כיצד פאנקי יכול לחפש אחר פרטים אישיים ואז לרדוף, כמו גם את היכולת ה”נדירה “לעדכן את עצמו ולהתאים מרחוק:

“זה נותן לפונקי את היכולת להפעיל כלים נוספים במערכת כמו ביצוע כלי סיור או ביצוע הסלמת הרשאות. זוהי תכונה נדירה עבור תוכנות זדוניות של PoS. “

למרבה המזל עבור קמעונאים, Trustwave פיתחה כלי שיכול לפענח את התנועה של Punkey. הכלי ממוקם במאגר התוכנה Github, הכלי יכול לעזור לעסקים מודאגים לקבוע אם יש להם תנועה של פאנקיי שרץ ברשתות שלהם.

קמעונאים צריכים כמובן להיות מודעים יותר ויותר לאיום הנשקף מהתקפות גירוד RAM של קופה.

מעבר למקרה הידוע כעת מאוד של טרגט, שהופר באמצעות קופות הקופות שלה, הנושא ממשיך להציג כאבי ראש לתעשייה.

רק בשבוע שעבר, דוח החקירות השבר על נתונים על הפרות נתונים של Verizon הדגיש כיצד הסתננות למערכות קופה מהווה איום משמעותי, והופיע בשלושת הגורמים הראשונים להפרות נתונים שאושרו במהלך 2014..

עם שלושה זנים של פאנקיי שקיימים כבר, פלוס NewPosThings והזן הפוסידון שהתגלה לאחרונה גם של תוכנות זדוניות מסוג POS, נראה כי 2015 עשויה להיות שנה גרועה יותר עבור קמעונאים מאשר זו שקדמה לה..

תמונה ראשונה: מועדון הצילום scottdavis2 / דולר

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map