Експертите от PandaLabs, лабораторията на Panda Security, са работили задълбочено по проучване от месец май, свързано с (POS) терминали в ресторанти в Съединените щати. Бил е открит нов зловреден софтуер с името- PunkeyPOS( зловреден код, който е в състояние да достъпи данните на кредитните карти, използвани на POS терминали. PandaLabs предостави информацията на съответните органи, така че те да могат да вземат необходимите мерки.
Нека да видим какво представлява PunkeyPOS и как работи.
Как могат да откраднат картата си, без да докосват портфейла ви?
PunkeyPOS работи безпроблемно във всички операционни системи – Windows. Планът на кибер-престъпниците е да се инсталира зловреден софтуер в POS терминали, за да откраднат поверителна информация като номера на сметки, съдържанието на магнитните ленти от банкови карти и т.н.
PunkeyPOS изглежда просто:
Инсталира Keylogger( програма, която наблюдава и записва натискането на клавиши), след което инсталира RAM–scraper (Който прочита и записва от паметта всички процеси, работещи на системата).
Въз основа на информацията, която улавя, зловредният код изпълнява поредица от контроли, за да се определи какво е валидно и кое не е. По отношение на клавишните комбинации, PunkeyPOS игнорира цялата информация, различна от данните за кредитните карти. Като следи най-вече за tracks1 / 2 от стартираните процеси в паметта, данните ги взима от RAM-scraper . Информацията прочетена и записана по този начин дава възможност в по-късен етап да се направи копие на съответната банкова карта.
След като е била получена информацията, тя е криптирана и се изпраща към отдалечен уеб сървър, който също е и команден (C & C) сървър. За да се избегне разкриване на информация за картата, в случай, че някой сканира мрежовия трафик, тя е криптирана, преди да бъде изпратена към сървъра с помощта на AES алгоритъм.
(C & C) адреса на сървъра за управление и контрол лесно може да бъде получен от този зловреден софтуер чрез обследванеи анализиране на мудулите му за комуникация. Ето и главната страница на контролния панел; тя изисква потребителско име и парола, за да получите достъп:
Проследи пътя към дигиталните крадци
Кибер-престъпниците зад тази атака не са били много внимателни. Тъй като сървърът не е конфигуриран правилно, от PandaLabs са успели да го достъпят,дори без да се налага оторизация.
Поради небрежността на хакерите от PandaLabs са могли да проследят къде PunkeyPOS изпраща откраднатата информация. Използва се панел, за достъп до откраднатите данни, но освен това чрез него киберпрестъпниците могат повторно да инфектират или актуализират данните за POS ботовете.
Версията на анализирания PunkeyPOS е кодирана с: “01.04.2016“. Ако сравним тази проба с по-стари версии, някои от 2014 г., почти не може да се открие някаква разлика в начина му на работа (в раздела Препратки на тази статия можете да намерите връзки, които ще ви препратят към подробности по темата.)
От PandaLabs са могли да получат достъп до контролния панел на PunkeyPOS, и са открили географското местоположение на около 200 POS терминали, които са били изложени на риск при този специфичен зловреден софтуер. Mожем да видим, че почти всички жертви са в Съединените щати:
Като се има предвид колко лесно е да се продава тази информация на черния пазар, и колко удобно е да се компрометира тези POS терминали анонимно чрез интернет, ние сме сигурни, че кибер-престъпниците ще бъдат все по-привлечени към подобен род мошеничества.
Защитете вашите устройства активно от подобни видове атаки с едно съвременно решение за киберсигурност като Adaptive defense 360. В реално време ще имате контрол на всички подозрителни операции; вземете контрола във Ваши ръце.
Препратки:
http://krebsonsecurity.com/2016/06/slicing-into-a-point-of-sale-botnet/
https://www.trustwave.com/Resources/SpiderLabs-Blog/New-POS-Malware-Emerges—Punkey/
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
Повече за Panda Security
office@computel.bg
plovdiv@computel.bg