基于以色列的IT安全公司Seculert的研究人员已经发现了一块定制的恶意软件,在过去的几个月里,在40个国家的企业中感染了数百个销售(POS)系统,并偷走了数万的数万付款卡。
在一些组件中发现的文本字符串和受感染的基于Windows的POS系统,属于大型零售商,酒店,餐馆甚至私人停车商,Seculert研究人员周二表示,恶意软件被称为Dexter。博客帖子。
星期二表示,该公司的研究人员发现了德克斯特恶意软件的样本,同时调查了其他威胁,即Seculert的首席技术官Aviv Raff。在分析后,他们能够访问塞舌尔共和国托管的命令和控制(C&C)服务器,他说,恶意软件上传了被盗的支付卡数据。
RAFF说,DEXTER MARWWare将在受感染系统上运行的进程列表,RAFF说。然后,攻击者检查任何这些过程是否对应于特定的POS软件,如果他们这样做,它们会指示恶意软件转储它们的内存并将数据上传回服务器。
然后将内存转储与在服务器上运行的在线工具解析,并且可以从它们中提取支付卡“轨道1”和“跟踪2”数据。拉夫说,这是在支付卡的磁条上写的信息,可以用来克隆它们。
因为这是一个持续的攻击,难以确定到目前为止有多少POS系统遭到损害,但它可能在200到300之间,拉夫说。他说,妥协支付卡的总数同样难以估计,但成千上万的似乎似乎已经受到损害。
根据C&C服务器收集的统计数据,30%的受感染的POS系统位于美国,19%的U.K.和加拿大9%。但是,来自荷兰,西班牙,南非,意大利,法国,俄罗斯,波兰,巴西,土耳其等国家的企业也受到了影响,绘制了真正的国际刑事运作的图片。
拉夫说,攻击者的起源尚不清楚,但在恶意软件中发现的字符串表明开发商是流利的英语扬声器。恶意软件作家倾向于在代码中以自己的语言使用单词,特别是当他们创建像这样的自定义工具时,他说。
超过50%的受感染系统运行Windows XP,17%运行Windows Home Server,9%运行Windows Server 2003和7%运行Windows 7。
用于感染这些系统的方法尚未确定,但鉴于其中许多运行Windows服务器并且很可能不用于Web浏览,则RAFF认为攻击者可能首先在同一网络上损害其他计算机,然后感染POS系统。
拉夫说,当Seculert的研究人员发现Dexter样品发现糊精样本,一些杀毒程序已经将其视为恶意。他说,该公司自分享了与安全行业的其他供应商分享。
似乎有一种越来越呈趋势,传染恶意软件的枢纽系统。两周前,罗马尼亚当局逮捕了16个网络犯罪戒指的疑似成员在属于外国公司的POS系统上窃取恶意软件的事务数据窃取恶意软件运营天然气站和杂货店。
据当局介绍,被盗数据在地下网站上销售或用于创建伪造金牌卡。据估计,刑事运作导致欺诈性交易总额超过500,000美元的支付卡。
稍后透露,由罗马尼亚团伙针对的公司主要来自澳大利亚,所以德克斯特恶意软件背后的帮派可能是一个不同的帮派。然而,拉菲同意操作方法非常相似。
拉夫说,如果目标公司将直接在硬件POS终端上加密数据,然后将其发送到他们的支付处理提供商,通常称为端到端加密的方法,就像基于Dexter恶意软件一样的攻击被阻止了。
然而,采用用于卡片当前事务的端到端加密技术目前很低,因为它通常需要更换具有能够加密数据的较新型号的所有POS设备。