NitlovePoS – Νέο PoS malware διανέμεται μέσω spam emails
Οι Cyber criminals στοχεύουν τους υπαλλήλους που σερφάρουν στο διαδίκτυο ή τσεκάρουν τα προσωπικά τους emails μέσω των point-of-sale (PoS) computers, μια άκρως επικίνδυνη αλλά δυστυχώς κοινή πρακτική των περισσότερων εργαζομένων.
Οι ερευνητές από την εταιρεία ασφαλείας FireEye πρόσφατα συνάντησαν τυχαία μια εκστρατεία spam, που χρησιμοποιούσε απατηλά email μεταμφιεσμένα ως έρευνες εργασίας.
Τα emails αυτά είχαν συνημμένα πλαστά βιογραφικά σημειώματα, τα οποία όμως ήταν πραγματικά έγγραφα Word με μια ενσωματωμένη κακόβουλη μακροεντολή. Εάν για κάποιο λόγο η μακροεντολή έτρεχε, εγκαθιστούσε ένα πρόγραμμα το οποίο με τη σειρά του έκανε download επιπλέον κακόβουλα malware από έναν απομακρυσμένο server.
Μεταξύ εκείνων των πρόσθετων προγραμμάτων, οι ερευνητές της εταιρείας FireEye εντόπισαν μια νέα απειλή: ένα malware το οποίο έχει τη δυνατότητα να κλέβει από την μνήμη των POS computers στοιχεία καρτών πληρωμής (memory-scraping malware). Έχουν ονομάσει τη νέα απειλή NitlovePOS.
To PoS malware έχει γίνει πολύ κοινό τα τελευταία χρόνια και έχει οδηγήσει σε μερικές από τις μεγαλύτερες παραβιάσεις πιστωτικών καρτών μέχρι σήμερα. Αυτό το είδος κακόβουλου προγράμματος χρησιμοποιήθηκε για να κλέψει 56 εκατομμύρια αρχεία καρτών πληρωμής από την Home Depot πέρυσι και 40 εκατομμύρια από την Target στα τέλη του 2013.
Μόλις εγκατασταθούν στα PoS τερματικά, αυτά τα προγράμματα ανιχνεύουν τη μνήμη του συστήματος για στοιχεία καρτών, ενώ αυτά μεταφέρονται από τον card reader στην εξειδικευμένη εμπορική εφαρμογή – έτσι προκύπτει και ο όρος “memory-scraping.”
Οι εγκληματίες μπορούν να χρησιμοποιήσουν τα κλεμμένα στοιχεία για να δημιουργήσουν ψευδή αντίγραφα των κλεμμένων καρτών.
Οι επιτιθέμενοι συνήθως μολύνουν τα PoS συστήματα με το malware, χρησιμοποιώντας κωδικούς χρηστών που είναι εύκολο να τους μαντέψεις (easy-to-guess credentials). Μια άλλη μέθοδος είναι η παραβίαση ενός άλλου υπολογιστή στο ίδιο δίκτυο και μετά η επίθεση στα PoS systems.
Παρόλο αυτά είναι ασυνήθιστη η τακτική που βλέπουμε να χρησιμοποιείται, όπως στην περίπτωση του NitlovePOS, με το PoS malware να διανέμεται μέσω spam emails, ειδικά ως μέρος μιας ευρύτεργης εκστρατείας phishing.
Αυτό υποδεικνύει ότι οι cyber criminals επιδιώκουν να εκμεταλλευτούν τις περιπτώσεις, όπου οι υπάλληλοι χρησιμοποιούν τα Windows-based PoS τερματικά για να τσεκάρουν τα emails τους ή να προβούν σε άλλες επικίνδυνες δραστηριότητες σερφάροντας στο Web.
