By | February 9, 2018

מומחי אבטחה יש רק התראה של תוכנה זדונית חדשה של נקודת המכירה (POS). כיום, הם אינם בטוחים אם האיום הוא בשלבי פיתוח, או שהוא כבר בשימוש, לצד שגיאות קידוד, קמפיין תוכנות זדוניות מבלי שיבחינו.

לדברי החוקרים, התוכנה הזדונית PoS כבר אחראי בפריצות נתונים של פרופיל גבוה רבים במהלך השנים האחרונות. הם קשורים לשימוש הולך וגדל של ה-EMV (chip & pin) התשלום כרטיסי בארה ב אשר מקשה הונאת כרטיס-נוכח.

בהתבסס על הנ, מומחי אבטחה תמיד ציפיתי כי האקרים יבחר את הכרטיס-. לא-ההווה (כלומר, באינטרנט) הונאה, ביצוע הגניבה מקוון של פרטי כרטיס prefferable הרבה יותר.

. זה איך חוקרים מאוניברסיטת Forcepoint תיאר את התוכנה הזדונית PoS בניתוח בלוג אתמול:

“נראה לי משפחה חדשה אשר אנחנו כעת קוראים”אוד PoS’ בשל שימושו כבד של תעבורת DNS מבוססי UDP.”

איכות הקידוד לא הרשים את המומחים הרבה, הם? תיארו כמו ‘פגום פנינה’, ‘פגום’ מתייחס הקידוד ואיפה ‘פנינה’ ההתרגשות של גילוי מחט חדשה בערימת השחת של תוכנות זדוניות הישן.

התוכנה הזדונית החדש משתמש ערכת נושא ‘LogMeIn’ לצורך הסוואה. השרת C2 הוא שירות-logmeln.network (עם ‘L’ ולא של ‘אני’) המארח הקובץ טפי, update.exe. זהו ארכיון לחילוץ עצמי 7-Zip המכיל LogmeinServicePack_5.115.22.001.exe ו- logmeinumon.exe. הרכיב שירות של תוכנות זדוניות מנוהלת באופן אוטומטי על ידי 7-Zip על החילוץ.

הרכיב שירות באותו מסדר תיקיה משלה, התמדה הקמת לאחר מכן, הוא מעביר שליטה לרכיב השני, או פיקוח, על ידי שיגור logmeinumon.exe. שרת שני מרכיביה יש מבנה דומה, להשתמש במחרוזת באותו קידוד טכניקה כדי להסתיר את השם של C”, שמות קבצים ושמות תהליך קשיח.

זה הרכיב צג היוצרת חמישה חוטים שונים לאחר ניסיון של AV אנטי, בדיקת מחשב וירטואלי, יצירת או טעינה ‘מזהה המכונה’ קיים. מזהה מחשב משמש כל התוכנה הזדונית של שאילתות DNS. אנטי-VM -AV/ פגום תהליך, מנסה לפתוח אחד בלבד מתוך מספר מודולים.

פעם ההפעלה הראשונה, התוכנה הזדונית יוצר קובץ אצווה (infobat.bat) לבדוק את המכשיר נגוע, עם פרטים לכתוב קובץ מקומי לפני שהם נשלחים לשרת C2 באמצעות DNS. הסיבה הממשית זה אינו ידוע, למרות שלפי המומחים, “מפת הרשת, רשימת התהליכים הפועלים ואת רשימת עדכוני אבטחה שהותקנו היא מידע חשוב מאוד”.

ניתוח הנתונים תוכנות זדוניות גילה תהליך שנועד לאסוף נתונים כרטיס תשלום Track 1 ו- 2 על ידי גירוד לזכרו של התהליכים הפועלים. במקרה כל רצועה 1/ נתונים 2 נמצא, הוא נשלח לשרת C2. החוקרים אומרים כי יומן נוצר גם לאחסן עיקשה “משך”פור pos e של שמירה על מסלול של מה שכבר הוגש לשרת C2.

המומחים ניסה למצוא דוגמאות נוספות של משפחת באותו זדוניות, הם מצאו שירות שונים רכיבים אך ללא רכיב המסך המתאים. הרכיב היה נושא ‘אינטל’ ולא ערכת נושא ‘LogMeIn’. זה נערך בסוף ספטמבר 2017, שבועיים לפני חותמת הידור של אוקטובר 11, 2017 עבור רכיבי LogMeIn.

“אם זהו סימן כי כותבי התוכנה הזדונית לא הצליחו בפריסת זה בהתחלה או בין אם מדובר בשניים שונים קמפיינים לא יכול להיות נחוש לחלוטין בשלב זה עקב המחסור של הרצה נוספים,” אומרים המחברים.

המומחים מזהירים כי מערכות PoS מדור קודם מבוססים בדרך כלל על וריאציות של שהליבה של Windows XP. “בעוד Windows POS מוכן נמצאת תמיכה מורחבת עד בינואר 2019, זה עדיין ביסודה מערכת הפעלה שהיא בת 17 השנה.”

בית מזדרזים לעקוב אחר דפוסי פעילות חריגה, “על-ידי זיהוי מגיב דפוסי מחשבה אלו, לעסקים – הן בעלי מסוף PoS של הספקים–שאפשר לסגור את. זה סוג של התקפה במוקדם.”

Leave a Reply

Your email address will not be published. Required fields are marked *