RtPOS

RtPOS er en PoS-dataskraber, der er etableret til at være en relativt unik trussel, der ikke er en del af nogen eksisterende malware-familie. Trusselens navn stammer fra en fejlfindingssti, der blev fundet i prøven, analyseret af infosec-forskere.

Efter at have analyseret koden blev det afsløret, at RtPOS er en relativt usofistikeret trussel sammenlignet med mere avancerede kreditkortskrabere derude. Det accepterer kun to argumenter - / installer og / fjern, der er ansvarlige for installationsprocessen og fjernelsen af truslen fra den målrettede enhed. Som en grundlæggende form for tildækning foregiver malware at være en ' Windows Logon Service '.

Når de er inde i det kompromitterede system, begynder RtPOS sin truende aktivitet ved at få en liste over enhedens processer gennem CreateToolhelp32Snapshot . Det begynder derefter at gentage på listen ved hjælp af Process32FirstW . Endelig får den adgang til RAM ved at udnytte funktionen ReadProcessMemory . Indsamling af data fra det målrettede systems hukommelse er et fælles mål for de fleste kortskrabere, da dette er stedet, hvor kortdata lagres og behandles, før der er anvendt kryptering. Når et kortnummer findes, validerer RtPOS det ved brug af en Luhn-algoritme. Alle erhvervede data er gemt i en DAT-fil med navnet ' sql8514.dat ' oprettet af malware i ' \ Windows \ SysWOW64-mappen .'

Som vi sagde tidligere, mangler RtPOS flere funktioner til stede i mere modne trusler af sin type. For eksempel kan den ikke exfiltrere de indsamlede data alene. Dette kan være et bevidst valg for at reducere den mængde opmærksomhed, som truslen kan generere, hvilket resulterer i en længere tilstedeværelse på den kompromitterede enhed og en øget total mængde skrottede data. Det kunne også signalere, at hackerne har et stabilt adgangspunkt til målets netværk.