PwnPOS

PwnPOS je malver za struganje kartica na mjestu prodaje, koji je, prema istraživaču koji ga je otkrio, uspio ostati neotkriven više od sedam godina zahvaljujući svojoj relativno jednostavnoj strukturi. PwnPOS se sastoji od dva modula - jedan je odgovoran za struganje memorije ugroženog sustava, dok drugi vrši eksfiltraciju prikupljenih podataka. Treba imati na umu da prijetnja može raditi samo na 32-bitnim sustavima. Na prvi pogled ovo može zvučati prilično značajnom preprekom za hakerove prijeteće planove jer se u trenutnom okruženju većina sektora prebacila na korištenje 64-bitnih sustava. Infrastruktura prodajnog mjesta ne treba nužno ažuriranje da bi optimalno funkcionirala, iako mnogi još uvijek koriste Windows XP ili Windows 7.

Do sada je otkriveno da PwnPOS operacije primjenjuju dodatni POS malware kao što su BlackPOS i Alina . Što se tiče zemljopisnog širenja otkrivenih žrtava, nije se mogla utvrditi konkretna regija jer su mete pronađene na nekoliko različitih kontinenata - od Japana do Njemačke i Rumunjske, SAD-a i Kanade, također Australije i Indije.

Prema zadanim postavkama, PwnPOS će se instalirati na ' % SystemRoot% \ system32 \ wnhelp.exe. 'Zatim će se pretvarati da je usluga' Windows Media Help 'i nastavit će se izvršavati pomoću prekidača ' -service '. Kroz dodatne argumente, prijetnja se može dodati ili ukloniti s popisa procesa, što rezultira određenim stanjem upornosti na ugroženom sustavu.

Proces struganja podataka vrši se nabrajanjem popisa izvršenih procesa tako što PwnPOS daje sebi dopuštenje ' SeDebugPrivilege '. Bilo koji prikladni niz provjerava se upotrebom Luhnovog algoritma prije nego što se pohrani u DAT datoteku pod nazivom ' perf419.dat. 'Sve podatke iz datoteke tada može uzeti i izlučiti bilo koji od dva različita binarna programa.