PwnPOS

PwnPOS è un malware raschiatore di carte Point-of-Sale (PoS) che, secondo il ricercatore che lo ha scoperto, è riuscito a rimanere inosservato per oltre sette anni grazie alla sua struttura relativamente semplice. PwnPOS è costituito da due moduli: uno è responsabile dell'estrazione della memoria del sistema compromesso, mentre l'altro esegue l'esfiltrazione dei dati raccolti. Va notato che la minaccia può funzionare solo su sistemi a 32 bit. A prima vista, questo potrebbe sembrare un ostacolo piuttosto significativo per i piani minacciosi degli hacker perché, nel panorama attuale, la maggior parte dei settori è passata all'utilizzo di sistemi a 64 bit. L'infrastruttura del punto vendita non necessita necessariamente di un aggiornamento per funzionare in modo ottimale, sebbene molti stiano ancora utilizzando Windows XP o Windows 7.

Finora, è stato rilevato che le operazioni di PwnPOS distribuiscono malware POS aggiuntivo come BlackPOS e Alina . Per quanto riguarda la diffusione geografica delle vittime individuate, non è stato possibile determinare alcuna regione concreta in quanto sono stati trovati bersagli in diversi continenti - dal Giappone alla Germania e Romania, Stati Uniti e Canada, anche Australia e India.

Per impostazione predefinita, PwnPOS si installerà in ' % SystemRoot% \ system32 \ wnhelp.exe. 'Fingerà quindi di essere un servizio di "Guida di Windows Media" e procederà ad eseguirsi tramite l' opzione " -service ". Tramite argomenti aggiuntivi, la minaccia può aggiungere o rimuovere se stessa dall'elenco dei processi, il che si traduce in un certo stato di persistenza sul sistema compromesso.

Il processo di scraping dei dati viene eseguito enumerando l'elenco dei processi in esecuzione da PwnPOS che si concede l'autorizzazione " SeDebugPrivilege ". Qualsiasi stringa adatta viene convalidata tramite l'uso dell'algoritmo Luhn prima di essere memorizzata in un file DAT denominato " perf419.dat. 'Tutte le informazioni dal file possono quindi essere prese ed estratte da uno dei due diversi binari.