Licences multi-appareils (remises sur volume)

Changer de région

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Malware PwnPOS

PwnPOS

Par GoldSparrow en Malware
Se traduisent par :
Français

PwnPOS est un logiciel malveillant de grattoir de cartes de point de vente (PoS) qui, selon le chercheur qui l'a découvert, a réussi à rester non détecté pendant plus de sept ans grâce à sa structure relativement simple. PwnPOS se compose de deux modules - l'un est chargé de gratter la mémoire du système compromis, tandis que l'autre exécute l'exfiltration des données collectées. Il est à noter que la menace ne peut opérer que sur des systèmes 32 bits. À première vue, cela peut sembler un obstacle assez important pour les plans menaçants des pirates parce que, dans le paysage actuel, la plupart des secteurs sont passés à l'utilisation de systèmes 64 bits. L'infrastructure de point de vente n'a pas nécessairement besoin d'une mise à jour pour fonctionner de manière optimale, même si beaucoup utilisent encore Windows XP ou Windows 7.

Jusqu'à présent, les opérations PwnPOS ont été détectées comme déployant des logiciels malveillants supplémentaires tels que BlackPOS et Alina . Quant à la répartition géographique des victimes détectées, aucune région concrète n'a pu être déterminée car des cibles ont été trouvées sur plusieurs continents différents - du Japon à l'Allemagne et à la Roumanie, aux États-Unis et au Canada, en passant par l'Australie et l'Inde.

Par défaut, PwnPOS s'installera dans ' % SystemRoot% \ system32 \ wnhelp.exe. 'Il fera alors semblant d'être un service' Aide Windows Media 'et procédera à son exécution via le commutateur ' -service '. Grâce à des arguments supplémentaires, la menace peut soit s'ajouter soit se retirer de la liste des processus, ce qui entraîne un certain état de persistance sur le système compromis.

Le processus de récupération des données est effectué en énumérant la liste des processus en cours par PwnPOS s'octroyant la permission « SeDebugPrivilege ». Toute chaîne appropriée est validée par l'utilisation de l'algorithme de Luhn avant d'être stockée dans un fichier DAT nommé ' perf419.dat. «Toutes les informations du fichier peuvent ensuite être prises et exfiltrées par l'un des deux binaires différents.

Tendance

Le plus regardé

Chargement...