RtPOS

RtPOS je prodavač podataka za prodajna mjesta (PoS) za koji je utvrđeno da je relativno jedinstvena prijetnja koja nije dio niti jedne postojeće obitelji zlonamjernog softvera. Ime prijetnje izvedeno je iz putanje za uklanjanje pogrešaka pronađene u uzorku koji su analizirali istraživači infosec-a.

Nakon analize koda, otkriveno je da je RtPOS relativno nesofisticirana prijetnja u usporedbi s naprednijim strugalicama za kreditne kartice. Prihvaća samo dva argumenta - / install and / remove koji su odgovorni za postupak instalacije i uklanjanje prijetnje s ciljanog uređaja. Kao osnovni oblik prikrivanja, zlonamjerni softver pretvara se da je " Usluga prijavljivanja za Windows ".

Kad uđe u kompromitirani sustav, RtPOS započinje sa svojim prijetećim aktivnostima dobivanjem popisa procesa uređaja putem CreateToolhelp32Snapshot . Zatim se počinje ponavljati na popisu pomoću Process32FirstW . Konačno, RAM-u pristupa korištenjem funkcije ReadProcessMemory . Prikupljanje podataka iz memorije ciljanog sustava zajednički je cilj većine strugača za kartice, jer je to mjesto na kojem se podaci o kartici pohranjuju i obrađuju prije nego što je na njih primijenjena bilo koja enkripcija. Kada se pronađe broj kartice, RtPOS ga provjerava upotrebom Luhnovog algoritma. Svi prikupljeni podaci pohranjeni su u DAT datoteci pod nazivom ' sql8514.dat ' koju je stvorio zlonamjerni softver u mapi ' \ Windows \ SysWOW64 .'

Kao što smo ranije rekli, RtPOS-u nedostaje nekoliko funkcija prisutnih u zrelijim prijetnjama tog tipa. Na primjer, ne može sam izbaciti prikupljene podatke. Ovo bi mogao biti namjerni izbor za smanjenje količine pozornosti koju bi prijetnja mogla generirati, što bi rezultiralo duljom prisutnošću na ugroženom uređaju i povećanim brojem otpadnih podataka. Također bi mogao signalizirati da hakeri imaju stabilnu pristupnu točku ciljane mreže.