PwnPOS

PwnPOS to szkodliwe oprogramowanie do skrobania kart w punktach sprzedaży (PoS), które według badacza, który go odkrył, jest niewykrywane przez ponad siedem lat dzięki swojej stosunkowo prostej strukturze. PwnPOS składa się z dwóch modułów - jeden jest odpowiedzialny za skrobanie pamięci z zaatakowanego systemu, a drugi za eksfiltrację zebranych danych. Należy zauważyć, że zagrożenie może działać tylko na systemach 32-bitowych. Na pierwszy rzut oka może się to wydawać dość istotną przeszkodą dla groźnych planów hakerów, ponieważ w obecnej sytuacji większość sektorów przestawiła się na systemy 64-bitowe. Infrastruktura punktów sprzedaży niekoniecznie wymaga aktualizacji, aby działać optymalnie, chociaż wiele z nich nadal korzysta z systemu Windows XP lub Windows 7.

Jak dotąd wykryto, że operacje PwnPOS wdrażają dodatkowe szkodliwe oprogramowanie POS, takie jak BlackPOS i Alina . Jeśli chodzi o geograficzne rozmieszczenie wykrytych ofiar, nie można było określić żadnego konkretnego regionu, ponieważ cele zostały znalezione na kilku różnych kontynentach - od Japonii po Niemcy i Rumunię, Stany Zjednoczone i Kanadę, a także Australię i Indie.

Domyślnie PwnPOS zainstaluje się w ' % SystemRoot% \ system32 \ wnhelp.exe. Następnie będzie udawać usługę „Windows Media Help" i uruchamiać się za pomocą przełącznika „ -service ". Poprzez dodatkowe argumenty zagrożenie może dodać się do listy procesów lub usunąć z niej, co skutkuje pewnym stanem trwałości w zaatakowanym systemie.

Proces pobierania danych odbywa się poprzez wyliczenie listy uruchomionych procesów przez PwnPOS nadając sobie uprawnienie „ SeDebugPrivilege ". Każdy odpowiedni ciąg jest sprawdzany za pomocą algorytmu Luhna przed zapisaniem w pliku DAT o nazwie „ perf419.dat " . 'Wszystkie informacje z pliku można następnie pobrać i eksfiltrować przez jeden z dwóch różnych plików binarnych.