RtPOS

RtPOS on müügipunkti (PoS) andmete kraapija, mis on tõestatud suhteliselt ainulaadse ohuna, mis ei kuulu ühegi olemasoleva pahavara perekonna hulka. Ohu nimi tulenes infosek-uurijate analüüsitud proovist leitud silumisrajast.

Pärast koodi analüüsimist selgus, et RtPOS on suhteliselt keerukam oht võrreldes arenenumate krediitkaardikaabitsatega seal. See aktsepteerib ainult kahte argumenti - / install ja / remove, mis vastutavad installiprotsessi ja ohu eemaldamise eest sihitud seadmest. Hämardumise põhivormina teeskleb pahavara olevat Windowsi sisselogimisteenus .

Olles sattunud ohustatud süsteemi, alustab RtPOS oma ähvardavat tegevust, hankides CreateToolhelp32Snapshoti kaudu seadme protsesside loendi . Seejärel hakkab see loendis itereerima, kasutades protsessi Process32FirstW . Lõpuks pääseb RAM- ile , kasutades funktsiooni ReadProcessMemory . Andmete kogumine sihitud süsteemi mälust on enamiku kaardikaabitsate ühine eesmärk, kuna see on koht, kus kaardiandmeid salvestatakse ja töödeldakse enne, kui neile on krüptitud. Kui kaardi number on leitud, kinnitab RtPOS selle Luhni algoritmi abil. Kõik omandatud andmed salvestatakse DAT-faili nimega ' sql8514.dat ', mille on loonud pahavara kaustas ' \ Windows \ SysWOW64 .

Nagu me varem ütlesime, puudub RtPOS-il mitu funktsiooni, mis esineks seda tüüpi küpsemates ohtudes. Näiteks ei saa see kogutud andmeid ise välja filtreerida. See võib olla tahtlik valik ohu tekitada võiva tähelepanu vähendamiseks, mille tulemuseks on pikem kohalolek ohustatud seadmes ja suurem vanaraua andmete koguarv. Samuti võib see anda märku, et häkkeritel on sihtmärgi võrgule stabiilne pääsupunkt.

Trendikas

Enim vaadatud

Laadimine...