PwnPOS

PwnPOS je malware pro škrabky karet Point-of-Sale (PoS), který se podle výzkumníka, který jej objevil, díky své relativně jednoduché struktuře podařilo zůstat nezjištěný více než sedm let. PwnPOS se skládá ze dvou modulů - jeden je zodpovědný za škrábání paměti ohroženého systému, zatímco druhý provádí exfiltraci shromážděných dat. Je třeba poznamenat, že hrozba může fungovat pouze na 32bitových systémech. Na první pohled to může znít jako poměrně významná překážka pro hrozivé plány hackerů, protože v současné situaci většina sektorů přešla na používání 64bitových systémů. Infrastruktura v místě prodeje nemusí nutně vyžadovat aktualizaci, aby fungovala optimálně, i když mnoho z nich stále používá Windows XP nebo Windows 7.

Zatím bylo zjištěno, že operace PwnPOS nasazují další POS malware, jako jsou BlackPOS a Alina . Pokud jde o zeměpisné rozšíření zjištěných obětí, nebylo možné určit konkrétní region, protože cíle byly nalezeny na několika různých kontinentech - od Japonska po Německo a Rumunsko, USA a Kanadu, také Austrálii a Indii.

Ve výchozím nastavení se PwnPOS nainstaluje na ' % SystemRoot% \ system32 \ wnhelp.exe. „Poté bude předstírat, že jde o službu„ Windows Media Help ", a bude pokračovat v provádění prostřednictvím přepínače„ -service ". Prostřednictvím dalších argumentů se může hrozba buď přidat, nebo odebrat ze seznamu procesů, což má za následek určitý stav perzistence v napadeném systému.

Proces škrábání dat se provádí výčtem seznamu spuštěných procesů podle PwnPOS, který si sám uděluje oprávnění „ SeDebugPrivilege ". Jakýkoli vhodný řetězec je ověřen pomocí Luhnova algoritmu před uložením do souboru DAT s názvem ' perf419.dat. „Veškeré informace ze souboru lze poté vzít a exfiltrovat jedním ze dvou různých binárních souborů.