Licenties voor meerdere apparaten (volumekortingen)

Veranderen van regio

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Malware RtPOS

RtPOS

Tegen GoldSparrow in Malware
Vertalen naar:
Nederlands

RtPOS is een Point-of-Sale (PoS) data-scrapper waarvan is vastgesteld dat het een relatief unieke bedreiging is die geen deel uitmaakt van een bestaande malwarefamilie. De naam van de bedreiging is afgeleid van een foutopsporingspad dat is gevonden in het monster dat is geanalyseerd door infosec-onderzoekers.

Na analyse van de code werd onthuld dat RtPOS een relatief eenvoudige bedreiging is in vergelijking met meer geavanceerde creditcardschrapers die er zijn. Het accepteert slechts twee argumenten - / install en / remove die verantwoordelijk zijn voor het installatieproces en het verwijderen van de dreiging van het beoogde apparaat. Als een basisvorm van verduistering doet de malware zich voor als een ' Windows-aanmeldingsservice '.

Eenmaal binnen het gecompromitteerde systeem, begint RtPOS zijn bedreigende activiteit door een lijst met de processen van het apparaat op te halen via CreateToolhelp32Snapshot . Het begint dan te herhalen op de lijst met behulp van Process32FirstW . Ten slotte krijgt het toegang tot het RAM door gebruik te maken van de ReadProcessMemory- functie. Het verzamelen van gegevens uit het geheugen van het beoogde systeem is een gemeenschappelijk doel voor de meeste kaartschrapers, aangezien dit de plaats is waar kaartgegevens worden opgeslagen en verwerkt voordat er enige codering op is toegepast. Wanneer een kaartnummer wordt gevonden, valideert RtPOS dit door middel van een Luhn-algoritme. Alle verkregen gegevens worden opgeslagen in een DAT-bestand met de naam ' sql8514.dat ' gemaakt door de malware in de map ' \ Windows \ SysWOW64 '.

Zoals we eerder zeiden, missen RtPOS verschillende functies die aanwezig zijn in meer volwassen bedreigingen van dit type. Het kan de verzamelde gegevens bijvoorbeeld niet zelf exfiltreren. Dit zou een bewuste keuze kunnen zijn om de hoeveelheid aandacht die de dreiging zou kunnen genereren te verminderen, wat resulteert in een langere aanwezigheid op het gecompromitteerde apparaat en een groter aantal afgedankte gegevens. Het kan ook aangeven dat de hackers een stabiel toegangspunt hebben tot het netwerk van het doelwit.

Trending

Meest bekeken

Bezig met laden...