Phần mềm độc hại GlitchPOS được rao bán để đánh cắp số thẻ tín dụng

Một điểm nhắm mục tiêu phần mềm độc hại mới của hệ thống bán hàng, GlitchPOS, đã được phát hiện trên một diễn đàn tội phạm.

Một phần mềm độc hại xảo quyệt mới dựa vào việc rút số thẻ tín dụng từ các hệ thống điểm bán (PoS) gần đây đã được phát hiện trên một diễn đàn tội phạm.

Các nhà nghiên cứu tại Cisco Talos cho biết trong một phân tích hôm thứ Tư rằng họ đã phát hiện ra phần mềm độc hại, được đặt tên là, GlitchPOS, tên lửa được bán lẻ trên Dark Web với giá 250 đô la. Phần mềm độc hại lần đầu tiên xuất hiện vào ngày 2 tháng 2 và các nhà nghiên cứu cho biết họ chưa biết có bao nhiêu tội phạm mạng đã mua nó hoặc đang sử dụng nó.

“Cisco Talos thời gian gần đây phát hiện ra một PoS malware mới đang được những kẻ tấn công bán trên một diễn đàn phần mềm tội phạm” các nhà nghiên cứu trong nói bài . Các nhà nghiên cứu của chúng tôi cũng phát hiện ra các tải trọng liên quan với phần mềm độc hại, cơ sở hạ tầng và bảng điều khiển của nó.

GlitchPOS tham gia các phần mềm độc hại được phát triển gần đây khác nhắm vào không gian bán lẻ và khách sạn, bao gồm TreasureHunter và PinkKite – một xu hướng đang gia tăng khi tội phạm mạng tìm kiếm lợi nhuận từ các hệ thống PoS thường đại diện cho mục tiêu mềm của họ, các nhà nghiên cứu cho biết.

Craig Williams, giám đốc của Cisco Talos Outreach, nói rằng GlitchPOS nổi bật một phần vì phần mềm được thiết kế tốt để dễ sử dụng, cho phép kẻ xấu phi kỹ thuật chạy botnet PoS.

Phần mềm độc hại được phát tán qua email, được coi là một trò chơi liên quan đến nhiều hình ảnh khác nhau của mèo.

Các nhà nghiên cứu cho biết, một nhà đóng gói được phát triển trong VisualBasic bảo vệ phần mềm độc hại, các nhà nghiên cứu cho biết: Mục đích của trình đóng gói là giải mã một thư viện là trọng tải thực, được mã hóa với trình đóng gói UPX. Sau khi được giải mã, chúng tôi có quyền truy cập vào GlitchPOS, một công cụ lấy bộ nhớ được phát triển trong VisualBasic.

Bảng điều khiển GlitchPOS cũng bao gồm các tính năng khác do người bán cung cấp để làm ngọt gói phần mềm độc hại, bao gồm bảng điều khiển, danh sách khách hàng của các hệ thống bị nhiễm và bảng liệt kê các số thẻ tín dụng bị đánh cắp.Tải trọng của phần mềm độc hại nhỏ và có một số chức năng sau khi kết nối với máy chủ chỉ huy và kiểm soát (C2), bao gồm đăng ký các hệ thống bị nhiễm, nhận các tác vụ từ C2 (được thực thi thông qua shellcode được gửi trực tiếp bởi máy chủ) và thực hiện thẻ tín dụng số từ bộ nhớ của các hệ thống bị nhiễm bệnh.

Phần mềm độc hại được xây dựng trước có giá $ 250, trong khi phần mềm xây dựng có giá $ 600.

Các nhà nghiên cứu nghi ngờ rằng người bán đằng sau GlitchPOS – người có tên là Ed Editsits – đã phát triển phần mềm độc hại trước đó.

Các nhà nghiên cứu đã đánh giá với mức độ tin cậy cao, rằng Edbitss cũng là nhà phát triển của botnet DiamondFox L! NK  Mạng botnet mô-đun đó, được rao bán trên nhiều diễn đàn ngầm kể từ 2015/2016, cung cấp cho tội phạm mạng các công cụ để khởi động nhiều cuộc tấn công khác nhau – từ các chiến dịch gián điệp được điều chỉnh cho đến các chiến dịch đánh cắp thông tin và thậm chí là các cuộc tấn công DDoS đơn giản.


Chẳng hạn, ngôn ngữ phần mềm độc hại cho cả hai đều tương tự nhau và bảng của chúng chứa hình ảnh, mã, thuật ngữ và màu sắc tương tự nhau. Các nhà nghiên cứu cho biết rõ ràng tác giả đã sử dụng lại mã từ bảng DiamondFox trên bảng GlitchPOS.Các nhà nghiên cứu đã tìm thấy một số điểm tương đồng giữa botnet DiamondFox L! NK và GlitchPOS khiến họ tin rằng cùng một nhà phát triển đứng sau cả hai.

Trong một bước ngoặt thú vị khác nói về sự phổ biến của phần mềm độc hại PoS, các nhà nghiên cứu đã tìm thấy những tội phạm mạng khác đang cố gắng bán lại GlitchPOS trên các trang web thay thế với giá cao hơn so với bản gốc.

Các nhà nghiên cứu cho biết, những kẻ xấu cũng ăn cắp công việc của nhau và cố gắng bán phần mềm độc hại được phát triển bởi các nhà phát triển khác với giá cao hơn.

Phần mềm độc hại tại điểm bán đang trở thành một tai họa gia tăng; đặc biệt trong ngành khách sạn.

Vào tháng 1 năm 2018, nhà bán lẻ thời trang Forever 21  tiết lộ  rằng phần mềm độc hại đã tồn tại trên một số thiết bị đầu cuối POS trong gần tám tháng tại các cửa hàng của nó, cho phép tin tặc đánh cắp dữ liệu thẻ tín dụng tiêu dùng từ công ty và vào tháng 3 năm 2018, phần mềm độc hại đã được phát hiện trên các hệ thống PoS. 160 nhà hàng của Applebee.

Gần đây, North Country Business Products (NCBP), một công ty cung cấp các hệ thống và dịch vụ PoS cho các địa điểm nhà hàng cho biết phần mềm độc hại có thể quét dữ liệu thẻ thanh toán từ thực khách trong khoảng ba tuần vào tháng 1. Tầm với của NCBP rất dài, với các nhà hàng đối tác vận hành giao thức từ Collins ‘Irish Pub ở Flagstaff, Ariz. Đến Vinyl Taco ở Grand Fork, ND

Phần mềm độc hại PoS thường được triển khai trên các trang web của nhà bán lẻ hoặc trên các máy bán PoS bán lẻ.

Các nhà nghiên cứu cho biết, nếu họ có được thông tin chi tiết về thẻ tín dụng, họ có thể sử dụng số tiền thu được từ việc bán thông tin đó hoặc sử dụng trực tiếp dữ liệu thẻ tín dụng để có được các khai thác và tài nguyên bổ sung cho các phần mềm độc hại khác. Các thiết bị đầu cuối điểm bán hàng thường bị lãng quên về mặt phân biệt và có thể là mục tiêu mềm cho những kẻ tấn công.

bình luận

Leave a Comment