PwnPOS

PwnPOS is Point-of-Sale (PoS) kaartschraper-malware die, volgens de onderzoeker die het ontdekte, dankzij de relatief eenvoudige structuur al meer dan zeven jaar onopgemerkt blijft. PwnPOS bestaat uit twee modules - de ene is verantwoordelijk voor het schrapen van het gecompromitteerde systeemgeheugen, terwijl de andere de exfiltratie van de verzamelde gegevens uitvoert. Opgemerkt moet worden dat de dreiging alleen kan werken op 32-bits systemen. Op het eerste gezicht klinkt dit misschien als een behoorlijk obstakel voor de dreigende plannen van hackers, omdat in het huidige landschap de meeste sectoren zijn overgestapt op 64-bits systemen. Point-of-sale-infrastructuur heeft niet per se een update nodig om optimaal te functioneren, hoewel velen nog steeds Windows XP of Windows 7 gebruiken.

Tot dusver is vastgesteld dat PwnPOS-operaties aanvullende POS-malware zoals BlackPOS en Alina inzetten . Wat betreft de geografische spreiding van de gedetecteerde slachtoffers, kon geen concrete regio worden bepaald, aangezien er doelen zijn gevonden op verschillende continenten - van Japan tot Duitsland en Roemenië, de VS en Canada, ook Australië en India.

PwnPOS zal zichzelf standaard installeren op ' % SystemRoot% \ system32 \ wnhelp.exe. Het zal zich dan voordoen als een 'Windows Media Help'-service en doorgaan met het uitvoeren van zichzelf via de' -service' -schakelaar. Door aanvullende argumenten kan de dreiging zichzelf toevoegen aan of verwijderen uit de lijst met processen, wat resulteert in een bepaalde toestand van persistentie op het gecompromitteerde systeem.

Het gegevensschraapproces wordt uitgevoerd door de lijst van actieve processen op te sommen door PwnPOS die zichzelf ' SeDebugPrivilege' -toestemming verleent . Elke geschikte string wordt gevalideerd door het gebruik van het Luhn-algoritme voordat deze wordt opgeslagen in een DAT-bestand met de naam ' perf419.dat. 'Alle informatie uit het bestand kan vervolgens worden opgehaald en geëxfiltreerd door een van de twee verschillende binaire bestanden.