Ochrona przed zbieraniem pamięci przez klientów Oracle Microsoftu

Nowy program szkodliwego oprogramowania, mający na celu kradzież danych kart płatniczych z systemów POS (POS), jest skierowany do firm korzystających z produktów Oracle Micros.

Micros, który został przejęty przez firmę Oracle jako ostatni rok, rozwija przednie i tylne systemy obsługi klienta, które są popularne w branży hotelarskiej, spożywczej i detalicznej. Według firmy, technologia ta jest używana w ponad 330 000 witrynach klientów w 180 krajach.

Badacze bezpieczeństwa z firmy antywirusowej Trend Micro natknęli się ostatnio na wysoce konfigurowalny program do usuwania szkodliwych programów pamięciowych, który nazwali MalumPoS.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Ten rodzaj programu monitoruje pamięć innych procesów dotyczących danych z karty płatniczej - informacje zakodowane na pasku magnetycznym kart płatniczych i które można wykorzystać do ich klonowania.

Próbki MalumPoS zidentyfikowane przez firmę Trend Micro szukają takich danych w pamięci procesów związanych z technologią Oracle Micros, aplikacji bramek transakcyjnych od Shift4, internetowych systemów PoS dostępnych za pośrednictwem Internet Explorera i Oracle Forms, narzędzia dostępu do danych w Oracle bazy danych.

"Patrząc na bazę użytkowników tych wymienionych platform, widzimy, że znaczna część pochodzi z USA" - stwierdzili naukowcy z Trend Micro w poście na blogu.

Kiedy infekuje system, MalumPoS instaluje się jako usługa o nazwie Nvidia Display Driv3r. Następnie używa wyrażeń regularnych do wykrywania danych o torach kart Visa, MasterCard, American Express, Discover i Diner's Club.

Szkodliwe oprogramowanie jest konfigurowalne i może technicznie monitorować do 100 różnych procesów w tym samym czasie, twierdzą naukowcy z Trend Micro . W przyszłości napastnicy mogą dodawać inne systemy i aplikacje PoS, które obsługują dane kart do swojej listy docelowej.

Liczba szkodliwych programów służących do ochrony przed szkodliwym oprogramowaniem PoS wzrosła w ciągu ostatnich kilku lat i wydają się być broń wybierana przez cyberprzestępców, którzy chcą ukraść dane kart płatniczych. Takie programy odegrały dużą rolę w największych dotychczasowych naruszeniach zasad dotyczących kart, w tym w Target i Home Depot.

Istnieje wiele sposobów na to, że terminale PoS zostają zainfekowane tym rodzajem złośliwego oprogramowania, z których najczęstszym jest słaby wynik. poświadczenia dostępu zdalnego. Dzieje się tak dlatego, że systemy te są często skonfigurowane do odbierania zdalnej pomocy technicznej, czasami za pośrednictwem niezabezpieczonej technologii.

W innych przypadkach osoby atakujące najpierw naruszają inne komputery w tej samej sieci wewnętrznej, w której znajdują się terminale PoS, a następnie używają skradzionych poświadczeń administracyjnych lub exploitów do niezakwalifikowania luki w zabezpieczeniach, aby zainstalować na nich złośliwe oprogramowanie.