RtPOS

RtPOS je Point-of-Sale (PoS) datový šrot, který byl vytvořen jako relativně jedinečná hrozba, která není součástí žádné existující rodiny malwaru. Název hrozby byl odvozen z ladicí cesty nalezené ve vzorku analyzovaném výzkumníky infosec.

Po analýze kódu vyšlo najevo, že RtPOS je relativně nenáročná hrozba ve srovnání s pokročilejšími škrabkami na kreditní karty. Přijímá pouze dva argumenty - / install a / remove, které jsou odpovědné za proces instalace a odstranění hrozby z cílového zařízení. Jako základní forma zamlžování se malware vydává za „ Windows Logon Service “.

Jakmile se dostanete do napadeného systému, RtPOS zahájí svou ohrožující aktivitu získáním seznamu procesů zařízení prostřednictvím CreateToolhelp32Snapshot . Poté začne iterovat v seznamu pomocí Process32FirstW . Nakonec přistupuje k paměti RAM využitím funkce ReadProcessMemory . Shromažďování dat z paměti cílového systému je společným cílem většiny škrabek na karty, protože toto je místo, kde jsou data karty ukládána a zpracovávána před tím, než na ně bylo použito jakékoli šifrování. Když je číslo karty nalezeno, RtPOS jej ověří pomocí Luhnova algoritmu. Všechna získaná data jsou uložena v souboru DAT s názvem ' sql8514.dat ' vytvořeném malwarem ve složce ' \ Windows \ SysWOW64 .'

Jak jsme již řekli, RtPOS postrádá několik funkcí přítomných ve vyspělejších hrozbách svého typu. Nemůže například sama filtrovat shromážděná data. Může to být záměrná volba ke snížení množství pozornosti, kterou by hrozba mohla generovat, což má za následek delší přítomnost na kompromitovaném zařízení a zvýšený celkový počet sešrotovaných dat. Mohlo by to také signalizovat, že hackeři mají stabilní přístupový bod k síti cíle.