RtPOS

RtPOS è uno scrapper di dati Point-of-Sale (PoS) che è stato stabilito per essere una minaccia relativamente unica che non fa parte di nessuna famiglia di malware esistente. Il nome della minaccia è stato derivato da un percorso di debug trovato nel campione analizzato dai ricercatori di infosec.

Dopo aver analizzato il codice, è stato rivelato che RtPOS è una minaccia relativamente poco sofisticata rispetto ai più avanzati scraper di carte di credito disponibili. Accetta solo due argomenti - / install e / remove che sono responsabili del processo di installazione e della rimozione della minaccia dal dispositivo mirato. Come forma base di offuscamento, il malware finge di essere un " servizio di accesso a Windows ".

Una volta all'interno del sistema compromesso, RtPOS inizia la sua attività minacciosa ottenendo un elenco dei processi del dispositivo tramite CreateToolhelp32Snapshot . Quindi inizia a scorrere l'elenco utilizzando Process32FirstW . Infine accede alla RAM sfruttando la funzione ReadProcessMemory . La raccolta dei dati dalla memoria del sistema di destinazione è un obiettivo comune per la maggior parte dei card scrapers, poiché questo è il luogo in cui i dati delle carte vengono archiviati ed elaborati prima che venga applicata la crittografia. Quando viene trovato un numero di carta, RtPOS lo convalida attraverso l'uso di un algoritmo Luhn. Tutti i dati acquisiti vengono archiviati in un file DAT denominato " sql8514.dat " creato dal malware nella cartella " \ Windows \ SysWOW64 ".

Come abbiamo detto in precedenza, RtPOS manca di diverse funzioni presenti in minacce più mature del suo tipo. Ad esempio, non può esfiltrare da solo i dati raccolti. Questa potrebbe essere una scelta deliberata per ridurre la quantità di attenzione che la minaccia potrebbe generare, determinando una presenza più lunga sul dispositivo compromesso e un aumento totale dei dati scartati. Potrebbe anche segnalare che gli hacker hanno un punto di accesso stabile alla rete del bersaglio.