由於大多數的 PoS 裝置和系統皆使用嵌入式 Windows 7 版本,且很可能未定期更新修補或安裝防毒軟體,因此,即使是像 FIN8 這種不太複雜的惡意程式攻擊也能輕鬆得逞。
根據資安研究人員發現,駭客團體 FIN8 在沉寂了兩年之後又再度重現江湖,推出了一個新的銷售櫃台系統 (PoS) 惡意程式,名叫「Badhatch」,專門竊取信用卡資訊。研究人員在分析了 Badhatch 的樣本之後發現,它與 PowerSniff 有諸多相似之處,只不過 Badhatch 多了一些新的功能,包括:掃描受害者網路、讓駭客從遠端遙控、安裝後門程式,以及散布其他修改過的惡意程式 (如 PoSlurp 和 ShellTea) 等等。
以網路釣魚郵件夾帶惡意 Word 文件散播
Badhatch的感染手法一開始與其前輩 PowerSniff 類似,都是透過精心製作的網路釣魚(Phishing)郵件並夾帶惡意 Word 文件。受害者一旦啟用了巨集功能,該文件就會啟動 PowerShell 並執行 PowerSniff 的 shellcode 腳本,過程當中還會安裝一個後門程式。它的網路掃描功能有別於 PowerSniff,無法判斷其感染的系統是否位於教育或醫療產業。此外,研究人員也指出它缺乏偵測沙盒模擬環境的能力,亦缺乏躲避防毒產品的能力,更不像其前輩具備長期躲藏的機制。不過,研究人員表示,這反倒是它的一項優勢,因為駭客可以在感染之後立即執行惡意行為,並且更能掌控惡意程式的使用方式,進而避開一些自動化沙盒模擬分析功能。
繼續閱讀
