由於大多數的 PoS 裝置和系統皆使用嵌入式 Windows 7 版本,且很可能未定期更新修補或安裝防毒軟體,因此,即使是像 FIN8 這種不太複雜的惡意程式攻擊也能輕鬆得逞。
根據資安研究人員發現,駭客團體 FIN8 在沉寂了兩年之後又再度重現江湖,推出了一個新的銷售櫃台系統 (PoS) 惡意程式,名叫「Badhatch」,專門竊取信用卡資訊。研究人員在分析了 Badhatch 的樣本之後發現,它與 PowerSniff 有諸多相似之處,只不過 Badhatch 多了一些新的功能,包括:掃描受害者網路、讓駭客從遠端遙控、安裝後門程式,以及散布其他修改過的惡意程式 (如 PoSlurp 和 ShellTea) 等等。
以網路釣魚郵件夾帶惡意 Word 文件散播
Badhatch的感染手法一開始與其前輩 PowerSniff 類似,都是透過精心製作的網路釣魚(Phishing)郵件並夾帶惡意 Word 文件。受害者一旦啟用了巨集功能,該文件就會啟動 PowerShell 並執行 PowerSniff 的 shellcode 腳本,過程當中還會安裝一個後門程式。它的網路掃描功能有別於 PowerSniff,無法判斷其感染的系統是否位於教育或醫療產業。此外,研究人員也指出它缺乏偵測沙盒模擬環境的能力,亦缺乏躲避防毒產品的能力,更不像其前輩具備長期躲藏的機制。不過,研究人員表示,這反倒是它的一項優勢,因為駭客可以在感染之後立即執行惡意行為,並且更能掌控惡意程式的使用方式,進而避開一些自動化沙盒模擬分析功能。
[延伸閱讀:RawPOS: New behavior risks identity theft]
此惡意程式具備另一種幕後操縱 (C&C) 伺服器通訊協定,它每五分鐘就和 C&C 伺服器通訊一次,藉此取得指令並回報進度。
此惡意程式也運用了 ShellTea 來輔助進行多重下載並執行額外程式碼,使惡意程式能暗中潛伏在受害者網路內,如此一來,駭客就能隨時部署其他惡意程式。此外,也讓惡意程式能透過其他 HTTPS 或 DNS 流量來適應目標環境。
能離線檢驗被竊取信用卡資料的真實性
至於 PoSlurp 則用來擷取 PoS 裝置處理的信用卡資料,包括感染惡意程式之前已儲存並加密的信用卡資料。駭客一旦從感染的系統取得這些資訊之後,就能離線檢驗這些資料的真實性。PoSlurp 還能讓駭客注入其他指令、存取檔案、複製記錄檔並傳回伺服器,或者刪除記錄檔等等。
[延伸閱讀:MajikPOS combines PoS malware and RATs to pull off its malicious tricks]
五點避免成為POS 惡意程式攻擊受害者
由於大多數的 PoS 裝置和系統皆使用嵌入式 Windows 7 版本,且很可能未定期更新修補或安裝防毒軟體,因此,即使是像 FIN8 這種不太複雜的惡意程式攻擊也能輕鬆得逞。
企業和一般使用者可透過以下幾項最佳實務原則和習慣來保護自己免於這類攻擊的危害:
- 定期檢查自己的銀行帳單看看是否有可疑的消費記錄。如果懷疑自己的帳戶被盜刷,應立即聯絡銀行。
- 不論是開啟已知或未知寄件人的電子郵件附件或點選郵件中的連結,只要是信件的要求相當可疑,就應特別小心謹慎。假使寄件人是認識的聯絡人,那就應透過其他之前用過的管道和對方確認信件的真實性。
- 還在使用老舊系統的使用者,應向資安廠商詢問是否有對應的虛擬修補可保護自己的系統。
- 限制系統只能使用特定軟體。
- 安裝一套多層式防護 (尤其是網路防禦產品) 來保護所有連網的裝置。
原文出處:FIN8 Reemerges with New PoS Malware Badhatch
PC-cillin 可以阻擋郵件內夾帶的惡意附件,網頁威脅防護功能可以封鎖郵件內惡意連結。使用個人電腦進行線上刷卡購物時時可透過安心Pay防止信用卡資料被竊 》即刻免費下載試用