WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc mới PoSeidon tấn công các thiết bị thanh toán PoS
Một loại mã độc mới tấn công các thiết bị thanh toán (Point-of-Sale - PoS) đặc biệt nguy hiểm vừa được phát hiện bởi các chuyên gia Cisco, được đánh giá là phức tạp và khó chịu hơn các loại mã độc PoS từng thấy trước đây.
Mã độc PoS mang tên PoSeidon được tạo ra mang cả hai khả năng của Trojan ngân hàng Zeus và mã độc BlackPOS từng đánh cắp hàng triệu USD từ các hãng bán lẻ khổng lồ của Mỹ, bao gồm Target năm 2013 và Home Depot năm 2014.
Mã độc PoSeidon đánh cắp dữ liệu bộ nhớ từ các thiết bị bán lẻ để tìm kiếm thông tin về các dãy số thẻ của các chủ thẻVisa, MasterCard, AMEX và Discover. Tiếp theo, tin tặc sử dụng thuật toán Luhn để xác nhận số thẻ tín dụng hoặc thẻ ghi nợ có hợp lệ hay không.
Sau đó, mã độc truyền dữ liệu thẻ đánh cắp được gửi đến các tên miền của Nga (.ru) để thu thập và bán lại.
Chuyên gia của Cisco cho hay: “PoSeidon là một trong những loại mã độc nhắm vào hệ thống PoS có số lượng đang gia tăng. Mã độc được đánh giá có kỹ thuật phức tạp”.
“Kẻ tấn công sẽ tiếp tục nhắm đến hệ thống PoS và sử dụng nhiều kỹ thuật đen tối để tránh bị phát hiện. Chỉ cần tấn công PoS còn tiếp tục cho thành quả, những kẻ tấn công sẽ tiếp tục đầu tư để tạo ra và phát triển những loại mã độc mới”.
Mã độc PoSPoSeidon có chương trình nạp mã nhị phân (Loader binary) duy trì trên máy mục tiêu ngay cả khi máy khởi động lại, hay người dùng đăng xuất. Chương trình nạp sau đó nhận được các thành phần khác từ máy chủ C&C.
Lệnh nhị phân FindStr tiếp theo được tải về cài đặt thành phần Keylogger để quét bộ nhớ của thiết bị PoS cho ra dãy số thẻ tín dụng.
Tìm dãy số xác thực bằng cách sử dụng thuật toán Luhn, sau đó mã hóa và gửi tới một trong các máy chủ được chọn. Đa số máy chủ thuộc tên miền của Nga:
linturefa.com
xablopefgr.com
tabidzuwek.com
lacdileftre.ru
tabidzuwek.com
xablopefgr.com
lacdileftre.ru
weksrubaz.ru
linturefa.ru
mifastubiv.ru
xablopefgr.ru
tabidzuwek.ru
Trong vài năm qua, một vài loại mã độc PoS đã được phát tán tại Mỹ, thu thập dữ liệu thẻ từ của người dùng, sau đó bán chúng cho thị trường chợ đen.
Quản trị mạng cần phải cảnh giác và chấp hành nghiêm chỉnh các quy chế để có thể bảo vệ mình khỏi những mối đe dọa mã độc PoS.
Mã độc PoS mang tên PoSeidon được tạo ra mang cả hai khả năng của Trojan ngân hàng Zeus và mã độc BlackPOS từng đánh cắp hàng triệu USD từ các hãng bán lẻ khổng lồ của Mỹ, bao gồm Target năm 2013 và Home Depot năm 2014.
Mã độc PoSeidon đánh cắp dữ liệu bộ nhớ từ các thiết bị bán lẻ để tìm kiếm thông tin về các dãy số thẻ của các chủ thẻVisa, MasterCard, AMEX và Discover. Tiếp theo, tin tặc sử dụng thuật toán Luhn để xác nhận số thẻ tín dụng hoặc thẻ ghi nợ có hợp lệ hay không.
Sau đó, mã độc truyền dữ liệu thẻ đánh cắp được gửi đến các tên miền của Nga (.ru) để thu thập và bán lại.
Chuyên gia của Cisco cho hay: “PoSeidon là một trong những loại mã độc nhắm vào hệ thống PoS có số lượng đang gia tăng. Mã độc được đánh giá có kỹ thuật phức tạp”.
“Kẻ tấn công sẽ tiếp tục nhắm đến hệ thống PoS và sử dụng nhiều kỹ thuật đen tối để tránh bị phát hiện. Chỉ cần tấn công PoS còn tiếp tục cho thành quả, những kẻ tấn công sẽ tiếp tục đầu tư để tạo ra và phát triển những loại mã độc mới”.
Mã độc PoSPoSeidon có chương trình nạp mã nhị phân (Loader binary) duy trì trên máy mục tiêu ngay cả khi máy khởi động lại, hay người dùng đăng xuất. Chương trình nạp sau đó nhận được các thành phần khác từ máy chủ C&C.
Lệnh nhị phân FindStr tiếp theo được tải về cài đặt thành phần Keylogger để quét bộ nhớ của thiết bị PoS cho ra dãy số thẻ tín dụng.
Tìm dãy số xác thực bằng cách sử dụng thuật toán Luhn, sau đó mã hóa và gửi tới một trong các máy chủ được chọn. Đa số máy chủ thuộc tên miền của Nga:
linturefa.com
xablopefgr.com
tabidzuwek.com
lacdileftre.ru
tabidzuwek.com
xablopefgr.com
lacdileftre.ru
weksrubaz.ru
linturefa.ru
mifastubiv.ru
xablopefgr.ru
tabidzuwek.ru
Trong vài năm qua, một vài loại mã độc PoS đã được phát tán tại Mỹ, thu thập dữ liệu thẻ từ của người dùng, sau đó bán chúng cho thị trường chợ đen.
Quản trị mạng cần phải cảnh giác và chấp hành nghiêm chỉnh các quy chế để có thể bảo vệ mình khỏi những mối đe dọa mã độc PoS.
Nguồn: The Hacker News