Οι δημιουργοί κακόβουλου λογισμικού σε σημεία πώλησης εξακολουθούν να συνεργάζονται με Spark, ένα spinoff Alina

Ένα πρόγραμμα κακόβουλου λογισμικού που ονομάζεται Spark που κλέβει δεδομένα κάρτας πληρωμής από συμβιβασμένα συστήματα σημείου πώλησης (POS) είναι πιθανόν μια τροποποίηση ενός παλαιότερου Trojan που ονομάζεται Alina, και επισημαίνει μια συνεχιζόμενη επικερδή επιχείρηση για τους κυβερνοεγκληματίες.

Το Spark κλέβει δεδομένα καρτών από μνήμη RAM (μνήμη τυχαίας προσπέλασης) του συμβιβασμένου συστήματος όταν εκτελείται από ειδικό λογισμικό που εκτελείται στο μηχάνημα. Παρόμοιο λογισμικό κακόβουλης μνήμης ήταν πίσω από μεγάλες παραβιάσεις δεδομένων σε πολλούς λιανοπωλητές τα τελευταία δύο χρόνια, όπως το Target, το Home Depot και το Neiman Marcus.

Το Spark εγκαθίσταται σε ένα σύστημα μέσω ενός script AutoIt που προηγουμένως μετατράπηκε σε εκτελέσιμο αρχείο, σύμφωνα με τους ερευνητές της εταιρίας ασφάλειας Trustwave

Αυτή η μέθοδος διανομής είναι παρόμοια με αυτήν που χρησιμοποιεί η εταιρία Trustwave. το οποίο χρησιμοποιείται από ένα άλλο πρόγραμμα κακόβουλου λογισμικού POS που ονομάζεται JackPOS και για το λόγο αυτό ορισμένοι αντιπρόσωποι εντοπίζουν Spark ως JackPOS.

Η χρήση φορτωτών γραμμένων σε γλώσσες scripting όπως AutoIt, Python ή Perl για την εγκατάσταση κακόβουλου λογισμικού δεν είναι καινούργια και είναι μια αρκετά απλή τεχνική . Αυτά τα σενάρια μετατρέπονται σε εκτελέσιμα αρχεία που ενσωματώνουν επίσης τον διερμηνέα που απαιτείται για την εκτέλεση τους στο σύστημα προορισμού, κάνοντας το μέγεθος τους αρκετά μεγάλο.

"Σε αυτή την περίπτωση, ωστόσο, το σενάριο έχει δυαδικό σε μια μεταβλητή που φορτώνεται σε δυναμική μνήμη και διορθώνει όλες τις διευθύνσεις που απαιτούνται για την εκτέλεση ", ανέφεραν οι ερευνητές της Trustwave. "Αυτή είναι μια πολύ πιο προηγμένη τεχνική και είναι επαναχρησιμοποιήσιμη με διαφορετικά ενσωματωμένα δυαδικά αρχεία."

Το Spark έχει πολλά περισσότερα από κοινού με την Alina, μια οικογένεια malware POS που χρονολογείται από το 2012, παρά με το JackPOS, σύμφωνα με τους ερευνητές της Trustwave. Αυτό περιλαμβάνει τη μέθοδο που χρησιμοποιείται για την παρακολούθηση των μολυσμένων συστημάτων, μια μαύρη λίστα διαδικασιών του συστήματος που δεν παρακολουθούνται επειδή είναι απίθανο να χειριστούν τα δεδομένα της κάρτας στη μνήμη και τη μέθοδο που χρησιμοποιείται για να παρακωλύσει την επικοινωνία με τους διακομιστές εντολών και ελέγχων όπου κλεμμένα δεδομένα

Προηγούμενες παραλλαγές της Alina χρησιμοποίησαν αρκετά νόμιμα ηχητικά εκτελέσιμα ονόματα αρχείων, ενώ το JackPOS προσπάθησε σχεδόν αποκλειστικά να μετατραπεί σε Java ή σε βοηθητικό πρόγραμμα που σχετίζεται με την Java. Το Spark, για λόγους σύγκρισης, τρέχει σαν αρχείο που ονομάζεται hkcmd.exe και αντιγράφεται στον φάκελο% APPDATA% Install "

" Υπήρξαν φήμες και εικασίες σχετικά με τον πηγή προέλευσης του Alina που πωλείται καθώς και το JackPOS που είναι διάδοχος στη βάση κώδικα Alina ", ανέφεραν οι ερευνητές του Trustwave σε δημοσίευση στο blog την Πέμπτη. "Η εκδοχή Spark δείχνει ότι κάποιος ενημερώνει πρόσφατα τον πηγαίο κώδικα της Alina."

Ο Spark εμφανίστηκε για πρώτη φορά στα τέλη του 2013, αλλά θεωρήθηκε ενεργός στην άγρια ​​φύση τόσο πρόσφατα όσο πριν ένα μήνα, σύμφωνα με τους ερευνητές της Trustwave. Τα τερματικά POS με κακόβουλο λογισμικό παραμένουν κερδοφόρα επιχείρηση για εγκληματίες του κυβερνοχώρου με νέα κακόβουλα προγράμματα που στοχεύουν σε τέτοια συστήματα που βρίσκονται κάθε μερικούς μήνες. Ο πιο συνηθισμένος φορέας επίθεσης κατά συσκευών POS είναι κλεμμένα ή αδύνατα απομακρυσμένα διαπιστευτήρια διαχείρισης που μπορούν εύκολα να ανακαλυφθούν χρησιμοποιώντας μεθόδους βίαιης δύναμης.

Ορισμένα νέα τερματικά POS προστατεύουν τα δεδομένα της κάρτας από κακόβουλο λογισμικό, κρυπτογράφοντάς το κατά τη στιγμή που περάστηκε η κάρτα του πελάτη. Ωστόσο, η αντικατάσταση των υφιστάμενων συστημάτων POS με νεότερα μοντέλα που υποστηρίζουν κρυπτογράφηση από σημείο σε σημείο θα ήταν δαπανηρή για πολλούς λιανοπωλητές, γι 'αυτό και οι επιθέσεις αυτές δεν είναι πιθανό να εξαφανιστούν σύντομα