Фирма безопасности iSIGHT Партнеры предупреждает ритейлеров, что тихий вор может быть в их системах кассовых терминалов, утверждение, что, по крайней мере, еще одна фирма безопасности дискутирует.Атакующие предназначались для ритейлеров со сложной вредоносной платформой, которая заражает системы кассовых терминалов и использует высокоуровневое шифрование, чтобы скрыть его функциональность и сделать анализ трудным, сказало консультирование безопасности iSIGHT Партнеры 24 ноября.
Вредоносную платформу, названный ModPOS, очень трудно обнаружить и вероятно заразила многократных ритейлеров, сказал iSIGHT. С ее большой кодовой базой и сложными методами, у группы позади ModPOS есть много технического навыка, Марии Нобоа, приведите технического аналитика для киберпреступления с iSIGHT Партнерами, сказал eWEEK.«У нас есть профессиональное кодирование уровня (и) действительно особый упор на путаницу», сказала она. «При размышлении обо всех этих вещах, которые это делает, это – излишество, почти».объявление iSIGHT, однако, раздражило других в сообществе безопасности.
Старше значащий Кибер центр аналитики Verizon (VCIC) вызвал отчет «гипербола».«VCIC не собрал отчетов об этом вредоносном программном обеспечении в дикой природе», заявила компания в сообщении в блоге. «Наша начальная оценка отчета о iSight не поддерживает наблюдения такой как, ‘Самый сложный когда-либо’, или ‘тихий убийца’. Эти характеристики ModPOS являются гиперболой».И Verizon и iSIGHT подтверждают, что вредоносное программное обеспечение было ранее обнаружено Symantec как Straxbot в декабре 2014.
Все же iSIGHT утверждал, что компоненты вредоносного программного обеспечения еще были обнаружены 2012 и что в прошлом году исследователи подтвердили, что программное обеспечение предназначалось для американских ритейлеров.iSIGHT решил выпустить свой общедоступный анализ так, чтобы ритейлеры могли высматривать нападение в своих системах кассовых терминалов, сказал Нобоа. Исследователи компании перепроектировали три плагина, используемые платформой: Тот, который профилирует зараженную систему, другой, который собирает информацию о локальной сети и одной трети, которая очищает имена пользователей и просто дешифруемые пароли.
Компания вызвала вредоносное программное обеспечение «самое сложное вредоносное программное обеспечение торговой точки, которое мы видели до настоящего времени». Платформа состоит из множества различных модулей, каждого действия как его собственный руткит, сокрытия на компьютерной системе и сохранения даже после перезагрузки.
ModPOS использует уникальный ключ шифрования для каждой системы, которую он заражает, мешая сравнивать код от различных систем, заявил iSIGHT в его анализе.Два из исследователей компании потребовали, чтобы три недели просто взломали кодирование вокруг единственного компонента вредоносной платформы, сказал Нобоа.«У нас только было ограниченное понимание платформы в прошлом году, и мы не поняли, насколько сложный это было и что они были способны к выполнению», сказала она. «Пока один из нашего не перепроектирует, наконец удался повреждать один из ключей зашифрованных данных и анализировать плагин, чтобы понять, что трафик шифрованной сети имел дополнительные двоичные файлы».Работа почти полностью избежала обнаружения программами антивирусного программного обеспечения.
Только единственная программа этих 52 вирусных сканеров на VirusTotal, очевидно Symantec, обнаружила компонент угрозы, присвоив ему оценку серьезности низких, согласно iSIGHT.Вредоносное программное обеспечение, вероятно, пропитывает компании посредством предназначенных кампаний фишинга копья, которые убеждают неосторожных сотрудников выполнять недоверяемые программы.
Verizon решила не предупредить клиенты о потенциальной угрозе, потому что никакая фирма-производитель антивирусного ПО не выпустила предупреждения.«Отсутствие предупреждения от Symantec или любого другого защитника антивируса для троянского, которое было существующим в течение приблизительно года и возможно двух лет, указывает, что ModPOS не является значительной или растущей угрозой в это время», заявила группа аналитики Verizon.
«VCIC будет продолжать включать эту угрозу в наши операции набора аналитики и советовать клиентам Verizon Enterprise существенных изменений в среде риска».VCIC изменил свою оценку угрозы в прошлом.
В марте 2014, когда фирма безопасности, которую AlienVault предупредил относительно BrutPOS, группы первоначально, не выпустила предупреждение, но сделала четыре месяца спустя, когда вредоносное программное обеспечение стало более плодовитым.