POS - 資安趨勢部落格

看好你的信用卡,銷售櫃台系統( PoS )惡意程式 Badhatch 來了

2019 年 08 月 01 日2019 年 08 月 08 日趨勢科技 TrendMicro

由於大多數的 PoS 裝置和系統皆使用嵌入式 Windows 7 版本，且很可能未定期更新修補或安裝防毒軟體，因此，即使是像 FIN8 這種不太複雜的惡意程式攻擊也能輕鬆得逞。

根據資安研究人員發現，駭客團體 FIN8 在沉寂了兩年之後又再度重現江湖，推出了一個新的銷售櫃台系統 (PoS) 惡意程式，名叫「Badhatch」，專門竊取信用卡資訊。研究人員在分析了 Badhatch 的樣本之後發現，它與 PowerSniff 有諸多相似之處，只不過 Badhatch 多了一些新的功能，包括：掃描受害者網路、讓駭客從遠端遙控、安裝後門程式，以及散布其他修改過的惡意程式 (如 PoSlurp 和 ShellTea) 等等。

以網路釣魚郵件夾帶惡意 Word 文件散播

Badhatch的感染手法一開始與其前輩 PowerSniff 類似，都是透過精心製作的網路釣魚(Phishing)郵件並夾帶惡意 Word 文件。受害者一旦啟用了巨集功能，該文件就會啟動 PowerShell 並執行 PowerSniff 的 shellcode 腳本，過程當中還會安裝一個後門程式。它的網路掃描功能有別於 PowerSniff，無法判斷其感染的系統是否位於教育或醫療產業。此外，研究人員也指出它缺乏偵測沙盒模擬環境的能力，亦缺乏躲避防毒產品的能力，更不像其前輩具備長期躲藏的機制。不過，研究人員表示，這反倒是它的一項優勢，因為駭客可以在感染之後立即執行惡意行為，並且更能掌控惡意程式的使用方式，進而避開一些自動化沙盒模擬分析功能。

繼續閱讀

美國連鎖餐廳Applebee’s收銀系統感染 POS端點銷售病毒　消費者姓名、信用卡資訊可能外洩

2018 年 03 月 14 日2018 年 03 月 13 日趨勢科技 TrendMicro

擁有超過160家Applebee’s餐廳的RMH Franchise Holdings (RMH)在3月2日披露其端點銷售(PoS)系統出現惡意軟體。PoS惡意軟體感染系統的這段時間可能導致客戶姓名、信用卡或借記卡號及卡片驗證碼的外流。

RMH表示”它的端點銷售系統與大部分的Applebee’s網路是隔離開來的”，而且”此通知僅適用於RMH所擁有的Applebee’s餐廳”。線上或桌上付款設備沒有受到影響。他們的報告還列出受影響Applebee’s餐廳的位置，包括了阿拉巴馬州、亞利桑那州、德州、佛羅里達州、伊利諾州、印第安納州、堪薩斯州、肯塔基州、俄亥俄州、密西西比州、密蘇里州、內布拉斯加州、奧克拉荷馬州、賓州和懷俄明州的餐廳。

RMH建議可能受到影響的客戶要定期檢查金融報表，並向執法機構通報任何詐騙活動。RMH還設置專門的熱線（888-764-7357）來提供協助。

[相關新聞：Forever 21報告PoS惡意軟體造成資料外洩]

RMH在其聲明中說明：”在2018年2月13日發現入侵事件後，RMH立即採取行動來確保情況受到控制。除了聘請第三方網路安全專家協助調查外，RMH還將相關事件通知執法部門，並將會繼續合作調查。在之後，RMH將會繼續密切監控系統並審查安全措施來防止類似情況再次發生”。

繼續閱讀

服飾品牌Forever 21 承認支付系統遭駭

2018 年 01 月 04 日2018 年 01 月 08 日趨勢科技 TrendMicro

服飾品牌Forever 21發布其在2017年11月時回報的資料外洩事件調查結果，揭示出現端點銷售（PoS）惡意軟體及對受影響PoS設備進行未經授權存取的跡象，這些設備的加密技術曾被關閉。Forever 21的新聞稿稱這PoS惡意軟體是用來搜尋支付卡資料。

在聲明中：“惡意軟體只搜尋會經過PoS設備的支付卡磁軌資料。在大多數情況下，惡意軟體只能找到磁軌資料而沒有持卡人姓名 – 只有卡號、到期日和內部驗證碼，但偶爾還是會找到持卡人姓名”。

Forever 21在57個國家擁有超過800家的商店。雖然美國以外的商店使用不同的支付處理系統，但他們還在確認這些商店是否受到影響。Forever 21並且說明這惡意軟體和資料外洩事件並沒有影響在他們網站使用的支付卡。

[延伸閱讀：2017年的知名資料外洩事件時間表]

PoS惡意軟體（以AbaddonPOS、RawPOS和MajikPOS為代表）經常結合其他威脅來最大化能夠竊取的資料，像是後門程式和鍵盤側錄程式。被竊取的資料可能包括駕照、認證資訊和其他個人身份資訊（PII）。

被竊的資料最終通常都會放在地下網路犯罪市場販賣，最高可達700美元。像是中國地下市場也會提供相關的產品，如可以從PoS設備和自動提款機（ATM）取得資料的硬體側錄器。

被竊的PII也可以用來進行其他網路攻擊，就像Onliner Spambot利用之前資料外洩事件所打造的7.11億個帳號列表來散播垃圾郵件。網路犯罪分子還可以利用PoS惡意軟體來攻擊其他產業，從大型跨國公司到中小型企業（SMB）都有。

[延伸閱讀：駭客可以用你被竊的身份資料做什麼？]

企業在資料外洩方面所造成的損失不僅僅是收入。失去客戶的信任和商譽也一樣地嚴重。而將於2018年5月實施的歐盟通用資料保護規範（GDPR）將對未能保護客戶資料處以罰款2,000萬歐元（2400萬美元）。

以下是企業可以用來減輕這類威脅的五個做法：

確保所有商店都符合最新的支付卡產業資料安全標準（PCI-DSS）
部署使用點對點加密的晶片密碼卡（EMV），這比磁條卡要來得安全
保護好其他可能的進入點，例如遠端桌面和端點繼續閱讀

為何RawPOS端點銷售惡意軟體,要竊取使用者的駕照資訊?

2017 年 05 月 10 日2017 年 05 月 02 日趨勢科技 TrendMicro

儘管屬於最古老端點銷售（PoS）記憶體擷取惡意軟體家族之一，RawPOS（趨勢科技偵測為TSPY_RAWPOS）在今天仍然相當活躍，幕後黑手的主要目標是有高達數十億美元豐厚利潤的飯店業。雖然惡意分子用來進行橫向移動的工具以及RawPOS元件還是跟以前一樣，但這惡意軟體加進了身分竊盜的新行為，讓受害者面臨更大的風險。具體地說，這新行為是關於RawPOS會竊取使用者的駕照資訊，可以用在駭客集團的其他惡意活動。

圖1：從2009至2014年的PoS記憶體擷取程式家族

RawPOS如何在記憶體內找到信用卡磁條資料 ?

傳統上，PoS威脅的目標是信用卡的磁條資料，並且使用其他元件（如鍵盤側錄程式和後門程式）來取得其他有價值的資料。RawPOS企圖兩者通知，巧妙地修改搜尋條件來取得所需要的資料。

正規表達式是進行模式比對的最古老方法之一，RawPOS會掃描程序內的字串來找出像是磁條內的資料。底下是舊的範例: 繼續閱讀

MajikPOS 攻擊手法結合了銷售櫃台系統 (PoS) 惡意程式與遠端存取木馬程式 (RAT)

2017 年 04 月 11 日2017 年 04 月 03 日趨勢科技 TrendMicro

趨勢科技發現了一個新的銷售櫃台系統 (PoS) 惡意程式品種：MajikPOS (趨勢科技命名為：TSPY_MAJIKPOS.A)，和許多其他 PoS 惡意程式一樣是專為竊取資訊而設計，但其模組化的執行方式卻相當獨特。我們估計 MajikPOS 的第一個感染案例應該出現在 2017 年 1 月 28 日左右。

雖然其他的 PoS 惡意程式，如：FastPOS (新版)、Gorynych 及 ModPOS 也採用了元件化的設計來分擔各種不同功能 (如鍵盤側錄)，但 MajikPOS 的模組化方式稍有不同。MajikPOS 只需再從伺服器下載另一個元件就有能力擷取系統記憶體 (RAM) 內的資料。

MajikPOS 是根據歹徒所使用的幕後操縱 (C&C) 面板而命名，該面板是用來發送指令並傳送竊取到的資料。MajikPOS 幕後的駭客在攻擊時結合了 PoS 惡意程式和遠端遙控木馬程式 (RAT)，可造成嚴重的傷害。從 MajikPOS 可看出歹徒的手法越來越複雜，讓傳統的防禦顯得毫無招架之力。

入侵點與攻擊過程

趨勢科技從 Smart Protection Network™ 所得到的資料可以判斷出歹徒使用什麼方法從遠端存取受害者的端點，那就是：Virtual Network Computing (VNC) 和 Remote Desktop Protocol (RDP) 兩種遠端支援工具，不過歹徒還必須猜出受害者的遠端帳號密碼，然後再搭配先前安裝在系統上的 RAT 工具。繼續閱讀