CenterPOS Вредоносное ПО - CenterPOS Malware

CenterPOS (также известный как «Церебрус») - это торговая точка (POS) вредоносное ПО обнаруженный Информационная безопасность Эксперты.[1] Он был обнаружен в сентябре 2015 года вместе с другими видами вредоносных программ для POS-терминалов, такими как NewPOSThings, BlackPOS, и Алина.[2] Ответственный разработчик выпустил две версии: 1.7 и 2.0.[3] CenterPOS 2.0 имеет аналогичные функции с CenterPOS версии 1.7. Версия 2.0 вредоносного ПО CenterPOS добавила некоторые более эффективные функции, такие как добавление файла конфигурации для хранения информации в его командный и контрольный сервер.[4]

Обзор

CenterPOS использовался для нацеливания на розничных продавцов с целью незаконного получения платежная карта информация с использованием скребок памяти.[5] Он использует два различных режима для очистки и хранения информации: «интеллектуальное сканирование» и «обычное сканирование».[6] В обычном режиме сканирования вредоносная программа просматривает все процессы на устройстве и определяет, какие из них в данный момент не запущены, не имеют имен «система», «процесс простаивающей системы» или «бездействующий» и не содержат таких ключевых слов. в качестве Microsoft или же Mozilla. Если процесс соответствует списку критериев, вредоносная программа будет искать все области памяти внутри процесса, ища данные кредитной карты с помощью регулярных выражений в списке регулярных выражений. В режиме интеллектуального сканирования вредоносная программа запускается с выполнения обычного сканирования, и любой процесс, имеющий соответствие регулярному выражению, будет добавлен в список интеллектуального сканирования. После первого прохода вредоносная программа будет искать только те процессы, которые находятся в списке интеллектуального сканирования. Вредоносная программа содержит функции, позволяющие злоумышленникам создавать файл конфигурации.[7]

Детали процесса

Вредоносная программа CenterPOS ищет файл конфигурации, содержащий информацию о C&C. Если не удается найти файл конфигурации, он запрашивает пароль. Если введенный пароль правильный, он загружает функции для создания файла конфигурации.[8] Эта вредоносная программа сильно отличается от других вредоносных программ для торговых точек тем, что в ней есть отдельный компонент, называемый конструктором, для создания полезной нагрузки.[9]

Вредоносное ПО CenterPOS ищет информацию о кредитных и дебетовых картах в режиме интеллектуального сканирования, а затем шифрует все очищенные данные, используя Тройной DES шифрование.[10] Затем данные, очищенные от памяти, отправляются оператору вредоносной программы через отдельный HTTP ПОЧТОВЫЙ запрос.[11]

Смотрите также

Рекомендации

  1. ^ ЦентрПОС. "Вариант вредоносного ПО CenterPoS POS". Cyber.nj.gov. Получено 2016-10-02.
  2. ^ «Эксперты по безопасности FireEye обнаружили новую разновидность вредоносного ПО для торговых точек, получившего название CenterPOS, которое угрожает розничным системам». Securityaffairs.co. 2016-01-29. Получено 2016-10-02.
  3. ^ "Centerpos: развивающаяся угроза". Fireeye.com. 2016-01-28. Получено 2016-10-02.
  4. ^ «CenterPOS - Эволюция вредоносного ПО для POS-терминалов». Iicybersecurity.wordpress.com. 2016-01-29. Получено 2016-10-02.
  5. ^ Нумаан Хук (16 июля 2013 г.). «Взгляните на вредоносное ПО для очистки RAM в точках продаж и на то, как оно работает». Nakedsecurity.sophos.com. Получено 2016-10-02.
  6. ^ «CenterPOS: растущая угроза для точек продаж». Securitybloggersnetwork.com. Архивировано из оригинал на 2017-01-09. Получено 2016-10-02.
  7. ^ «Два новых вредоносных ПО PoS, поражающих малый и средний бизнес в США». TrendLabs. 2015-09-28. Получено 2016-10-09.
  8. ^ «Новая версия вредоносного ПО CenterPOS спешит атаковать розничные системы». Darkreading.com. Получено 2016-10-02.
  9. ^ «Две новые угрозы для точек продаж нацелены на малый и средний бизнес в США». Scmagazine.com. 2013-10-31. Получено 2016-10-02.
  10. ^ «Появляется новая версия вредоносного ПО CenterPOS». Onthewire.io. 2016-01-28. Получено 2016-10-02.
  11. ^ «Эксперты по безопасности FireEye обнаружили новую разновидность вредоносного ПО для торговых точек, получившего название CenterPOS, которое угрожает розничным системам». Securityaffairs.co. 2016-01-29. Получено 2016-10-02.