RtPOS

RtPOS to narzędzie do zbierania danych w punkcie sprzedaży (PoS), które zostało uznane za stosunkowo wyjątkowe zagrożenie, które nie należy do żadnej istniejącej rodziny złośliwego oprogramowania. Nazwa zagrożenia pochodzi ze ścieżki debugowania znalezionej w próbce przeanalizowanej przez badaczy infosec.

Po przeanalizowaniu kodu okazało się, że RtPOS jest stosunkowo nieskomplikowanym zagrożeniem w porównaniu z bardziej zaawansowanymi skrobakami kart kredytowych. Przyjmuje tylko dwa argumenty - / install i / remove, które są odpowiedzialne za proces instalacji i usunięcie zagrożenia z docelowego urządzenia. Jako podstawowa forma zaciemniania kodu szkodliwe oprogramowanie udaje „ usługę logowania systemu Windows ”.

Po wejściu do zaatakowanego systemu RtPOS rozpoczyna swoją groźną działalność, uzyskując listę procesów urządzenia za pomocą CreateToolhelp32Snapshot . Następnie rozpoczyna iterację na liście przy użyciu Process32FirstW . Wreszcie uzyskuje dostęp do pamięci RAM, wykorzystując funkcję ReadProcessMemory . Zbieranie danych z pamięci systemu docelowego jest wspólnym celem większości skrobaków kart, ponieważ jest to miejsce, w którym dane karty są przechowywane i przetwarzane przed zastosowaniem do niej jakiegokolwiek szyfrowania. Kiedy numer karty zostanie znaleziony, RtPOS sprawdza go za pomocą algorytmu Luhna. Wszystkie uzyskane dane są przechowywane w pliku DAT o nazwie „ sql8514.dat ” utworzonym przez szkodliwe oprogramowanie w folderze „ \ Windows \ SysWOW64 ”.

Jak powiedzieliśmy wcześniej, RtPOS nie posiada kilku funkcji obecnych w bardziej dojrzałych zagrożeniach tego typu. Na przykład nie może samodzielnie wydobyć zebranych danych. Może to być celowy wybór, aby zmniejszyć ilość uwagi, jaką może wygenerować zagrożenie, co skutkuje dłuższą obecnością na zaatakowanym urządzeniu i zwiększoną liczbą odrzuconych danych. Może również sygnalizować, że hakerzy mają stabilny punkt dostępu do sieci celu.