PwnPOS

O PwnPOS é um malware que raspa cartões de crédito de Pontos de Venda (PoS) que, de acordo com o pesquisador que o descobriu, conseguiu permanecer sem ser detectado por mais de sete anos, graças à sua estrutura relativamente simples. O PwnPOS consiste em dois módulos - um é responsável por raspar a memória do sistema comprometido, enquanto o outro realiza a exfiltração dos dados coletados. Deve-se observar que a ameaça pode operar apenas em sistemas de 32 bits. À primeira vista, isso pode soar como um obstáculo bastante significativo para os planos de ameaça dos hackers porque, no cenário atual, a maioria dos setores passou a usar sistemas de 64 bits. A infraestrutura do ponto de venda não precisa necessariamente de uma atualização para funcionar de maneira ideal, embora muitos ainda estejam usando o Windows XP ou Windows 7.

Até agora, foi detectado que as operações do PwnPOS implantam malware adicional para PDV, como BlackPOS e Alina . Quanto à distribuição geográfica das vítimas detectadas, nenhuma região concreta pôde ser determinada, pois os alvos foram encontrados em vários continentes diferentes - do Japão à Alemanha e Romênia, Estados Unidos e Canadá, também Austrália e Índia.

Por padrão, o PwnPOS se instalará em ' % SystemRoot%\system32\wnhelp.exe. 'Ele então fingirá ser um serviço de 'Ajuda do Windows Media' e continuará a se executar por meio do switch 'service'. Por meio de argumentos adicionais, a ameaça pode se adicionar ou se remover da lista de processos, o que resulta em um certo estado de persistência no sistema comprometido.

O processo de extração de dados é realizado enumerando a lista de processos em execução pelo PwnPOS, concedendo a si mesmo a permissão 'SeDebugPrivilege'. Qualquer string adequada é validada com o uso do algoritmo Luhn antes de ser armazenada em um arquivo DAT denominado 'perf419.dat.' Todas as informações do arquivo podem ser obtidas e exfiltradas por um dos dois binários diferentes.