С Искрой у ритейлеров и компаний обслуживания платежей теперь есть новая деформация вредоносного программного обеспечения, которое будет касаться.Поставщик систем обеспечения безопасности Trustwave 18 декабря публично детализировал ранее нераскрытый вредоносный вариант торговой точки (POS), известный как Искра.
Различные формы вредоносного программного обеспечения POS нацеливались на ритейлеров в течение 2014 с одним из самого распространяющегося существа вредоносное программное обеспечение Возврата. Американская Секретная служба предупредила, что по крайней мере на 1 000 ритейлеров повлиял Возврат. Новое вредоносное программное обеспечение POS Искры не связано с Возвратом с точки зрения вредоносных семей; единственное отношение – то, что они – оба вредоносные варианты тот целевой POS системы.Много вредоносных семейств POS повлияли на ритейлеров в 2014, включая FrameworkPOS, BlackPoS и JackPOS.
Искра является фактически вариантом вредоносного семейства POS Алины.«Мы исследовали много ритейлеров до настоящего времени, где Алина была обнаружена в системе кассовых терминалов; однако, я не знаю ни о ком, которые были ‘публично outed’ к моему знанию», сказал Райан Мерритт, вредоносный вывод исследования в Trustwave, eWEEK. «Кроме того, Для разъяснения далее Вспыхните, уникальный вариант Алины, которая не была публично обсуждена подробно до сих пор».Траствав обнаружил Искру при выполнении расследований на многократных нарушениях автомобильных компаний ремонта и технического обслуживания, по словам Мерритта.
Между вредоносными вариантами JackPOS и Алины существует подозреваемое отношение, Мерритт сказал, поскольку существуют некоторые подобные технические поведенческие компоненты через две вредоносных семьи, включая использование пользовательских методов поиска кредитной карты. Кроме того, JackPOS появился около времени, когда использование Алины начало уменьшаться, он сказал, и были неподтвержденные слухи, что JackPOS является преемником Алины, а также других отраслевых отчетов об исходном коде Алины, продаваемом на подземных форумах.
И Алина и Искра следуют за машинами Microsoft Windows.«Этот [Искра] и все другие обнаруженные варианты Алины компилируются для выполнения на Windows OS исключительно», сказал Мерритт. «Никакие наблюдаемые варианты не предназначались для Linux/Unix/Mac до настоящего времени».
С точки зрения заражения Искра не распространяется самостоятельно, по словам Мерритта. Скорее это – инструмент взламывания преступники, специально разработанные, чтобы получить данные кредитной карты и передать это обратно данные системе, которой управляют атакующие.
«Атакующие развертывают этот инструмент, как только они поставили под угрозу систему жертвы, обычно предположив слабый пароль к службе удаленного доступа, установленной в системе кассовых терминалов», сказал Мерритт.Обнаружение Искры не особенно просто, поскольку авторы вредоносного программного обеспечения приняли меры, чтобы избежать обнаружения и сохранить код тайным. Мерритт сказал, что Искра использует технологию, известную как AutoIT, который упрощает для атакующих изменять подпись файла вредоносного программного обеспечения для предотвращения антивируса (AV) обнаружение.
Однако Мерритт отметил, что как в любой игре кошки-мышки, AV быстро завоевывает популярность к новым вариантам и в конечном счете обнаружит новую подпись или общее злонамеренное поведение.«Для дальнейшей защиты себя ритейлеры должны изолировать свои платежные системы и сохранить их системы ответственными за доступ к данным кредитной карты укрепленный, применив строгую политику безопасности, такую как сильные пароли и отключив любые неиспользованные сервисы», сказал Мерритт. «Сетевые меры защиты, такие как IDS/IPS [системы предотвращения/обнаружения проникновения] и выходная фильтрация могут также обнаружить заражение и потенциально ограничить автоматизированную экс-фильтрацию украденных кредитных карт».
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.