趨勢科技發現了 MalumPoS 這個專門攻擊 PoS 系統的新惡意程式,就目前看到的情況,它會攻擊採用 Oracle® MICROS® 平台的 PoS 系統,竊取其中的資料,此PoS平台是飯店、餐飲及零售業廣泛使用的系統。
Oracle 表示全球有約 330,000 個客戶據點正在使用 MICROS 平台,他們大多集中在美國,一旦此 PoS 記憶體擷取程式成功入侵他們的系統,這些知名的美國企業和其顧客都將陷入危險當中。
MalumPoS 這類 PoS 記憶體擷取程式,一般來說是專門竊取被感染系統記憶體內的信用卡資料。每當櫃台人員幫顧客刷信用卡時,惡意程式就會偷取磁條中的持卡人姓名、卡號等等資訊。偷到這些資料之後,惡意程式會傳回給幕後犯罪集團,犯罪集團再用來製作偽卡,或用於線上購物詐騙。
MalumPoS 在設計上已內建設定彈性,也就是說,未來還能隨時修改或新增其他攻擊程序和攻擊目標,例如加入攻擊 Radiant 或 NCR Counterpoint PoS 系統的程序,到那時,使用這類系統的企業都將陷入危險。
其他重要特點
MalumPoS和其他過去出現的 PoS 記憶體擷取程式相比,有幾項有趣的特點:
- 偽裝成 NVIDIA 顯示卡驅動程式:當植入系統當中時,MalumPoS 會使用「NVIDIA Display Driver」或「NVIDIA Display Driv3r」的名稱來偽裝成顯示卡驅動程式。雖然一般的 PoS 系統並不需要安裝 NVIDIA 顯示卡驅動程式,但 NVIDIA 在使用者之間的知名度很可能讓使用者不疑有他。
圖 1:MalumPOS 偽裝成系統服務
- 攻擊目標:除了攻擊 Oracle MICROS 之外,MalumPoS 還會攻擊 Oracle Forms、Shift4 等系統,以及那些可經由 Internet Explorer 瀏覽器存取的系統。就這些平台的使用者來看,其主要攻擊目標應該是分布在美國。
- 篩選信用卡資料:MalumPoS 會利用正規表示法 (regular expression) 來過濾 PoS 資料並篩選出某些信用卡的資訊。過去我們曾經見過 Rdasrv 這個 Pos 惡意程式也有同樣的行為。MalumPoS 所尋找的是 Visa、MasterCard、American Express、Discover 以及 Diner’s Club 等發卡機構的信用卡。
不過,如同前面所說,MalumPoS 是一個可設定的惡意程式,因此其鎖定的系統與信用卡類型是可以隨時增加或修改的。
如需有關 MalumPoS 的完整分析,包括其感染指標與 YARA 規則,請參閱「MalumPoS 技術簡介」。
建議和解決之道
趨勢科技現在已可偵測這項威脅的所有相關二進位檔案。若您已安裝了Deep Discovery Endpoint Sensor之類的端點裝置監控軟體,我們還能提供 YARA 規則來讓您搜尋相關的感染指標。您也可以在我們的技術簡介當中找到這項資料。
若您想了解如何進一步提升您的安全,請參閱「防範 PoS 記憶體擷取程式:當今策略與新一代技術 (Defending Against PoS RAM Scrapers: Current Strategies and Next-Gen Technologies)」一文。此外,白名單列表之類的技術,也有助於防範這項威脅。
原文出處: Trend Micro Discovers MalumPoS; Targets Hotels and other US Industries
| 作者:Jay Yaneza (威脅分析師)
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
◎ 歡迎加入趨勢科技社群網站
