Ismét felütötte a fejét a POS terminálokat fertőző trójai

A bankkártyák elfogadásához használt terminálokat veszélyeztető BlackPOS trójainak egy újabb változata jelent meg, amely az eddigieknél kifinomultabb módszerekkel zsebeli be a kártyaadatokat.
 

A BlackPOS trójai az elmúlt években már számos változat formájában ütötte fel a fejét. Ez annak fényében nem túl meglepő, hogy a kártékony program forráskódja 2012-ben kiszivárgott az internetre, és e forráskódot a kiberbűnözők azóta is előszeretettel alakítgatják. Így aztán a károkozó folyamatosan fejlődik, ami egyrészt megnehezíti a felismerését, másrészt mind több adat kerül veszélybe. 

A BlackPOS legújabb variánsa összességében az elődjei által kitaposott úton jár, de bizonyos technikái kifinomultabbakká váltak. Jó példa minderre, hogy a kártevő továbbra is a POS terminálokon futó alkalmazások folyamatait, illetve az azokhoz tartozó memóriaterületeket kémleli, azonban nem minden esetben aktivizálódik. Azokat a folyamatokat nem monitorozza - és ezzel csökkenti a lebukásának valószínűségét -, amelyek biztosan nem kezelnek kártyaadatokat. Ennek megfelelően nem kotorászik egyebek mellett a taskmgr.exe, az svchost.exe, a winlogon.exe, a wininit.exe, a cfmon.exe, a services.exe stb. rendszerfolyamatok által lefoglalt memóriaterületeken sem.

A Trend Micro beszámolója szerint a BlackPOS egy futtatható fájl révén kerül fel a rendszerekre, és négy paraméterrel (-[start|stop|install|uninstall]) szabályozható a működése. Ezek közül a legfontosabb az install és a start. Az előbbi paraméterrel történő futtatása esetén a károkozó létrehoz egy Windows-os szolgáltatást "[antivírus cég neve] Framework Management Instrumentation" néven, majd a start segítségével rögtön indítható. Mint látható a trójai egy víruskereső szolgáltatásnak próbálja álcázni magát, miközben folyamatosan szkenneli a memóriát, és különféle reguláris kifejezések alapján igyekszik kártyaszámokhoz, illetve klónozáshoz felhasználható adatokhoz hozzájutni. A számára érdekes adatokat egy McTrayErrorLogging.dll nevű fájlba menti le, amit rendszeres időközönként szerverekre tölt fel hálózati megosztásokon keresztül.

A POS terminálokat fertőző kártékony programok ellen többszintű védelemre van szükség, aminek a naprakész vírusvédelem mellett ki kell terjednie a hálózatbiztonságra, és a terminálok megfelelő hozzáférés-kezelésére, izolációjára is.