PwnPOS

PwnPOS er Point-of-Sale (PoS) -kortskrabermalware, der ifølge forskeren, der opdagede det, har formået at forblive uopdaget i over syv år takket være dets relativt enkle struktur. PwnPOS består af to moduler - det ene er ansvarligt for at skrabe det kompromitterede systems hukommelse, mens det andet udfører exfiltrering af de indsamlede data. Det skal bemærkes, at truslen kun kan fungere på 32-bit-systemer. Ved første øjekast kan det lyde som en ret betydelig hindring for hackernes truende planer, fordi de fleste sektorer i det nuværende landskab har skiftet til at bruge 64-bit-systemer. Salgsinfrastruktur behøver ikke nødvendigvis en opdatering for at fungere optimalt, selvom mange stadig bruger Windows XP eller Windows 7.

Indtil videre er PwnPOS-operationer blevet opdaget, at de implementerer yderligere POS-malware som BlackPOS og Alina . Med hensyn til den geografiske spredning af de opdagede ofre kunne ingen konkret region bestemmes, da der er fundet mål på flere forskellige kontinenter - fra Japan til Tyskland og Rumænien, USA og Canada, også Australien og Indien.

Som standard installerer PwnPOS sig selv på ' % SystemRoot% \ system32 \ wnhelp.exe. 'Det foregiver derefter at være en' Windows Media Help '-tjeneste og fortsætter med at udføre sig selv gennem kontakten ' -service '. Gennem yderligere argumenter kan truslen enten tilføje eller fjerne sig selv fra listen over processer, hvilket resulterer i en vis tilstand af vedholdenhed på det kompromitterede system.

Dataskrabningsprocessen gennemføres ved at opregne listen over kørende processer ved at PwnPOS giver sig selv ' SeDebugPrivilege ' tilladelse. Enhver passende streng valideres ved brug af Luhn-algoritmen, før den gemmes i en DAT-fil med navnet ' perf419.dat. 'Alle oplysninger fra filen kan derefter tages og exfiltreres af en af to forskellige binære filer.