Tin tặc đang thử nghiệm mã độc mới tấn công các hệ thống PoS

Các nhà nghiên cứu tại Trend Micro đã tình cờ có được một mẫu mã độc point-of-sale (PoS) dường như đang được phát triển.

Phát hiện mới của Trend Micro mang tên “TSPY_POSLOGR.K”, một loại mã độc khá giống với biến thể mới của mã độc nổi tiếng BlackPoS (TSPY_MEMLOG.A). Poslogr được thiết kế để đọc bộ nhớ với quy trình cụ thể nhằm chiếm đoạt thông tin thẻ thanh toán. Dữ liệu được lưu vào tệp tin “rep.bin” và “rep.tmp”

Danh sách các tiến trình bị tấn công được liệt kê cụ thể trong tệp tin .INI hoạt động như một tệp tin cấu hình. Tuy nhiên, các nhà nghiên cứu vẫn chưa tìm ra tệp tin cấu hình này trên hệ thống bị nhiễm độc nên chưa thể chắc chắn tiến trình nào được mã độc này sử dụng. Một tệp tin cấu hình khác chứa các biến cụ thể khoảng thời gian quét các tiến trình. Có một vài manh nối khiến các chuyên gia tin rằng Poslogr hoặc là đang được phát triển hoặc là vẫn còn trong giai đoản thử nhiệm beta. Ví dụ, mã của mã độc này chứa thông tin debug, nó không kết nối bất kì máy chủ điều khiển nào và không tải lên những dữ liệu mà nó thu thập được.

Poslogr dường như là một mã độc đa thành phần, các nhà nghiên cứu cho rằng thành phần chịu trách nhiệm cho việc lấy dữ liệu được triển khai dưới dạng package. Theo Trend Micro, mã độc này được phát tán thông qua tấn công drive-by với sự trợ giúp của các phần mềm độc hại khác.

Tuần trước, các nhà nghiên cứu tại công ty IntelCrawler đã báo cáo phát hiện một PoS mã độc mới nhắm đến các quán điện tử có tên  “d4re|dev1|,” mã độc này được phát hiện trên gần 80 máy tính tại Liên minh Châu Âu, Mỹ và Úc. Số lượng các mã độc được thiết kế tấn công hệ thống PoS đang gia tăng bởi nó có thể tấn công lên một hệ thống lớn. Trong các cuộc tấn công vào hệ thống bán lẻ của Mỹ, tin tặc đã đánh cắp 40 triệu thẻ tín dụng và thẻ ghi nợ với BlackPOS.

Securityweek