Licences multi-appareils (remises sur volume)

Changer de région

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Malware RtPOS

RtPOS

Par GoldSparrow en Malware
Se traduisent par :
Français

RtPOS est un outil de suppression des données au point de vente (PoS) qui a été établi comme une menace relativement unique qui ne fait partie d'aucune famille de logiciels malveillants existante. Le nom de la menace a été dérivé d'un chemin de débogage trouvé dans l'échantillon analysé par les chercheurs d'Infosec.

Après avoir analysé le code, il a été révélé que RtPOS est une menace relativement peu sophistiquée par rapport aux grattoirs de cartes de crédit plus avancés. Il n'accepte que deux arguments - / install et / remove qui sont responsables du processus d'installation et de la suppression de la menace de l'appareil ciblé. En tant que forme de base d'obfuscation, le logiciel malveillant prétend être un « service d'ouverture de session Windows» .

Une fois à l'intérieur du système compromis, RtPOS commence son activité menaçante en obtenant une liste des processus de l'appareil via CreateToolhelp32Snapshot . Il commence ensuite à itérer sur la liste à l'aide de Process32FirstW . Enfin, il accède à la RAM en exploitant la fonction ReadProcessMemory . La collecte de données à partir de la mémoire du système ciblé est un objectif commun pour la plupart des grattoirs de cartes, car c'est l'endroit où les données de la carte sont stockées et traitées avant qu'un cryptage ne lui soit appliqué. Lorsqu'un numéro de carte est trouvé, RtPOS le valide grâce à l'utilisation d'un algorithme de Luhn. Toutes les données acquises sont stockées dans un fichier DAT nommé « sql8514.dat » créé par le logiciel malveillant dans le dossier « \ Windows \ SysWOW64 ».

Comme nous l'avons dit précédemment, RtPOS manque de plusieurs fonctions présentes dans les menaces plus matures de ce type. Par exemple, il ne peut pas exfiltrer les données collectées par lui-même. Cela pourrait être un choix délibéré pour réduire la quantité d'attention que la menace pourrait générer, ce qui se traduirait par une présence plus longue sur l'appareil compromis et une augmentation du total des données mises au rebut. Cela pourrait également signaler que les pirates ont un point d'accès stable au réseau de la cible.

Tendance

Le plus regardé

Chargement...