摘要:美國(guó)國(guó)土安全部昨日發(fā)布了一則警告,披露了最近發(fā)生的一系列數(shù)字犯罪中,發(fā)現(xiàn)了被安裝在POS機(jī)終端上的惡意軟件。其可以通過POS機(jī)硬件盜取用戶的信用卡信息,被黑客利用盜刷信用卡。在2013年底至今進(jìn)行的三起獨(dú)立司法調(diào)查中均發(fā)現(xiàn)該類惡意軟件的存在。這起警報(bào)由多個(gè)國(guó)家信息安全機(jī)構(gòu)共同發(fā)布,包括國(guó)家網(wǎng)絡(luò)安全和通信集成中心 NCCIC,美國(guó)特勤局USSS,金融部門信息共享和分析中心(FS-ISAC)以及Trustwave Spiderlabs信息安全公司。
根據(jù)美國(guó)計(jì)算機(jī)緊急響應(yīng)小組US-CERT稱,這種惡意軟件能夠:通過讀取信用卡掃描刷頭的內(nèi)存數(shù)據(jù),獲取信用卡賬號(hào)、密碼。黑客可以利用C2通信組件進(jìn)行上傳竊取數(shù)據(jù),上傳惡意軟件、下載傳播惡意軟件等操作,黑客能夠根據(jù)這種信息新建虛假磁卡進(jìn)行盜刷。這種惡意軟件是直接存根至終端機(jī)的Explorer.exe進(jìn)程中的,因此即使內(nèi)存崩潰也能重新加載。
Trustwave的病毒威脅情報(bào)經(jīng)理Karl Sigler稱,信息罪犯首先利用為POS終端系統(tǒng)提供支持的遠(yuǎn)程終端系統(tǒng)工具進(jìn)行破解。比如微軟的遠(yuǎn)程桌面工具,蘋果的Remote Desktop,Chrome Remote Desktop,Splashtop 2, Pulseway以及LogMEIn的Join.Me軟件.通過對(duì)這些系統(tǒng)工具采用暴力破解密碼獲得訪問權(quán)限,并在POS機(jī)上植入惡意軟件。Sigler透露超過600家零售企業(yè)(食品與飲料零售商)被這種惡意軟件感染。目前版本的大部分反病毒軟件無法偵測(cè)到這種惡意軟件,專家建議用戶將反病毒軟件升級(jí)至最新版本。
