RtPOS

O RtPOS é um scrapper de dados de Ponto de Venda (PoS) que foi estabelecido para ser uma ameaça relativamente única que não faz parte de nenhuma família de malware existente. O nome da ameaça foi derivado de um caminho de depuração encontrado na amostra analisada por pesquisadores da Infosec.

Depois de analisar o código, foi revelado que RtPOS é uma ameaça relativamente pouco sofisticada quando comparada aos raspadores de cartão de crédito mais avançados que existem. Ele aceita apenas dois argumentos - /instalar e /remover que são responsáveis pelo processo de instalação e a remoção da ameaça do dispositivo visado. Como forma básica de ofuscação, o malware finge ser um ' Serviço de Logon do Windows '.

Uma vez dentro do sistema comprometido, o RtPOS começa sua atividade ameaçadora obtendo uma lista dos processos do dispositivo por meio de CreateToolhelp32Snapshot . Em seguida, ele começa a iterar na lista usando Process32FirstW . Finalmente, ele acessa a RAM explorando a função ReadProcessMemory . Coletar dados da memória do sistema de destino é um objetivo comum para a maioria dos raspadores de cartão, pois este é o local onde os dados do cartão são armazenados e processados antes que qualquer criptografia seja aplicada a eles. Quando um número de cartão é encontrado, o RtPOS o valida através do uso de um algoritmo de Luhn. Todos os dados adquiridos são armazenados em um arquivo DAT denominado ' sql8514.dat ' criado pelo malware na pasta ' \Windows\SysWOW64 '.

Como dissemos anteriormente, o RtPOS carece de várias funções presentes em ameaças mais maduras de seu tipo. Por exemplo, ele não pode exfiltrar os dados coletados sozinho. Essa pode ser uma escolha deliberada para reduzir a quantidade de atenção que a ameaça pode gerar, resultando em uma presença mais longa no dispositivo comprometido e um total maior de dados descartados. Também pode sinalizar que os hackers têm um ponto de acesso estável à rede do alvo.