RtPOS

RtPOS on PoS-tietojen kerääjä, jonka on todettu olevan suhteellisen ainutlaatuinen uhka, joka ei kuulu mihinkään olemassa olevaan haittaohjelmaperheeseen. Uhan nimi on johdettu virheenkorjausreitistä, joka löytyy infosec-tutkijoiden analysoimasta näytteestä.

Koodin analysoinnin jälkeen paljastettiin, että RtPOS on suhteellisen monimutkainen uhka verrattuna edistyneempiin luottokortin kaavimiin. Se hyväksyy vain kaksi argumenttia - / install ja / remove, jotka ovat vastuussa asennusprosessista ja uhkan poistamisesta kohdelaitteesta. Hämärtymisen perusmuodona haittaohjelma teeskentelee olevansa Windows-kirjautumispalvelu .

Kun se on vaarantuneessa järjestelmässä, RtPOS aloittaa uhkaavan toiminnan hankkimalla luettelon laitteen prosesseista CreateToolhelp32Snapshotin kautta . Sitten se alkaa toistaa luettelossa käyttämällä Process32FirstW -ohjelmaa . Lopuksi se käyttää RAM-muistia hyödyntämällä ReadProcessMemory- toimintoa. Tietojen kerääminen kohdennetun järjestelmän muistista on yhteinen tavoite useimmille kortin kaavimille, koska tämä on paikka, jossa korttitiedot tallennetaan ja käsitellään ennen salausta. Kun kortin numero löytyy, RtPOS vahvistaa sen käyttämällä Luhn-algoritmia. Kaikki hankitut tiedot tallennetaan DAT-tiedostoon nimeltä sql8514.dat , jonka haittaohjelma on luonut \ Windows \ SysWOW64-kansioon .

Kuten aiemmin sanoimme, RtPOS: ilta puuttuu useita toimintoja, jotka ovat tyypiltään kypsemmissä uhissa. Esimerkiksi se ei voi suodattaa kerättyjä tietoja itse. Tämä voi olla tahallinen valinta vähentää huomion määrää, jonka uhka voi tuottaa, mikä johtaa pidempään läsnäoloon vaarantuneessa laitteessa ja lisääntyneen romutetun tiedon kokonaismäärään. Se voi myös osoittaa, että hakkereilla on vakaa tukiasema kohteen verkkoon.