PoS 收銀系統/ 端點銷售惡意軟體 - 資安趨勢部落格

為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?

2017 年 05 月 10 日2017 年 05 月 02 日趨勢科技 TrendMicro

儘管屬於最古老端點銷售（PoS）記憶體擷取惡意軟體家族之一，RawPOS（趨勢科技偵測為TSPY_RAWPOS）在今天仍然相當活躍，幕後黑手的主要目標是有高達數十億美元豐厚利潤的飯店業。雖然惡意分子用來進行橫向移動的工具以及RawPOS元件還是跟以前一樣，但這惡意軟體加進了身分竊盜的新行為，讓受害者面臨更大的風險。具體地說，這新行為是關於RawPOS會竊取使用者的駕照資訊，可以用在駭客集團的其他惡意活動。

圖1：從2009至2014年的PoS記憶體擷取程式家族

RawPOS如何在記憶體內找到信用卡磁條資料 ?

傳統上，PoS威脅的目標是信用卡的磁條資料，並且使用其他元件（如鍵盤側錄程式和後門程式）來取得其他有價值的資料。RawPOS企圖兩者通知，巧妙地修改搜尋條件來取得所需要的資料。

正規表達式是進行模式比對的最古老方法之一，RawPOS會掃描程序內的字串來找出像是磁條內的資料。底下是舊的範例: 繼續閱讀

FastPOS 專門攻擊銷售櫃台系統,竊取信用卡後立即外傳給駭客

2016 年 06 月 23 日2016 年 06 月 16 日趨勢科技 TrendMicro

今日企業總是以能夠快速因應外在環境變化而自豪，不幸的是，網路犯罪集團何嘗不是如此。最近出現了一個專門攻擊個專門攻擊銷售櫃台系統 (PoS) 的新惡意程式家族，此惡意程式家族的特點是竊取到資料之後會馬上回傳給遠端的駭客。趨勢科技根據這項特性，將它命名為 FastPOS。

FastPOS 的設計是會立即將竊取到的信用卡資料外傳，而非先儲存在本機上的一個檔案，然後再定期傳送給駭客。這表示它或許是專門針對小型網路環境而設計，例如只有一台 DSL 數據機連接一台 POS 系統的環境。

攻擊管道和目標

FastPOS (趨勢科技的偵測名稱為： TSPY_FASTPOS.SMZTDA) 可經由三種管道進入其攻擊目標：

指向某個已遭駭客入侵網站的連結 (該網站專門討論外科雷射技巧)
即時檔案分享服務
透過 VNC 直接傳輸檔案

前兩種方法還需透過社交工程social engineering技巧來誘騙使用者執行惡意程式，最後一種方法則需要經由某種管道取得公司的登入帳號密碼，或者透過暴力破解的方式取得目標使用者的帳號密碼。

這項威脅的受害者分布非常廣：我們在全球各地都有發現受害者。主要分布於下列地區：

美洲：巴西和美國
亞洲：香港、日本、台灣
歐洲：法國

此外，其產業分布也很廣。美國的受害機構還包括獸醫診所，其他地區的受害機構則包括食品業和物流業；另有某些案例的受害機構為開放 VNC 連線的遠端辦公室。

資訊竊盜

FastPOS 會將偷取到的資訊「立即」傳送給遠端駭客，而非先儲存在本機，等到固定時間再上傳。雖然這可能造成一些不正常的網路流量，但由於今日的裝置隨時都連上網路，因此這樣的流量相對上很容易隱藏。其竊取的資訊方式有兩種：鍵盤側錄和記憶體擷取。繼續閱讀

PoS攻擊的演進 – 更加複雜也更具針對性

2015 年 12 月 15 日2015 年 12 月 14 日趨勢科技 TrendMicro

根據趨勢科技2015年第三季資安綜合報告 – 「危險當前：現今的弱點引發即將到來的攻擊」，針對中小企業（SMB）的銷售端點（PoS）記憶體惡意軟體正在崛起。現在出現惡意份子會利用傳統的大規模感染工具（如垃圾郵件、「Botnet傀儡殭屍網路」和漏洞攻擊包）來大量散播PoS記憶體惡意軟體。我們相信在可預見的未來會對中小企業產生相當大的威脅。

PoS記憶體惡意軟體只是中小企業所面臨威脅的最新一個。事實上，他們成為犯罪集團潛在目標已經數十年了。從歷史上看，中小企業曾經是以現金為主的企業（現在已經大幅減低），遭受到大量的商品、服務、現金和支票被竊事件。直到1980年代開始根本性的轉換並依賴於非現金支付系統，包括通用和專用卡片系統、自動化票據交換所（ACH）和支票。非現金支付系統的詐騙損失從1980年的大約1.1億美元成長到2015年的超過160億美元。

1990年代的中小企業所面臨的大規模支付卡資料竊盜集中在實體的資料外洩。卡片資料甚至是銀行帳戶資料經由側錄（拷貝磁條資料）造成實際上的損害。即使有新而更加複雜的支付系統出現，犯罪集團仍然將目標放在地方的中小企業。他們在今日繼續的針對金融、旅館和零售業來進行側錄活動。

繼續閱讀

MalumPoS 惡意程式,可針對任何POS系統發動攻擊

2015 年 06 月 10 日2015 年 06 月 23 日趨勢科技 TrendMicro

趨勢科技發現了 MalumPoS 這個專門攻擊 PoS 系統的新惡意程式，就目前看到的情況，它會攻擊採用 Oracle® MICROS® 平台的 PoS 系統，竊取其中的資料，此PoS平台是飯店、餐飲及零售業廣泛使用的系統。

Oracle 表示全球有約 330,000 個客戶據點正在使用 MICROS 平台，他們大多集中在美國，一旦此 PoS 記憶體擷取程式成功入侵他們的系統，這些知名的美國企業和其顧客都將陷入危險當中。

MalumPoS 這類 PoS 記憶體擷取程式，一般來說是專門竊取被感染系統記憶體內的信用卡資料。每當櫃台人員幫顧客刷信用卡時，惡意程式就會偷取磁條中的持卡人姓名、卡號等等資訊。偷到這些資料之後，惡意程式會傳回給幕後犯罪集團，犯罪集團再用來製作偽卡，或用於線上購物詐騙。

MalumPoS 在設計上已內建設定彈性，也就是說，未來還能隨時修改或新增其他攻擊程序和攻擊目標，例如加入攻擊 Radiant 或 NCR Counterpoint PoS 系統的程序，到那時，使用這類系統的企業都將陷入危險。

其他重要特點

MalumPoS和其他過去出現的 PoS 記憶體擷取程式相比，有幾項有趣的特點：

偽裝成 NVIDIA 顯示卡驅動程式：當植入系統當中時，MalumPoS 會使用「NVIDIA Display Driver」或「NVIDIA Display Driv3r」的名稱來偽裝成顯示卡驅動程式。雖然一般的 PoS 系統並不需要安裝 NVIDIA 顯示卡驅動程式，但 NVIDIA 在使用者之間的知名度很可能讓使用者不疑有他。

圖 1：MalumPOS 偽裝成系統服務 繼續閱讀