Ismét felütötte a fejét a POS terminálokat fertőző trójai
A bankkártyák elfogadásához használt terminálokat veszélyeztető BlackPOS trójainak egy újabb változata jelent meg, amely az eddigieknél kifinomultabb módszerekkel zsebeli be a kártyaadatokat.A BlackPOS trójai az elmúlt években már számos változat formájában ütötte fel a fejét. Ez annak fényében nem túl meglepő, hogy a kártékony program forráskódja 2012-ben kiszivárgott az internetre, és e forráskódot a kiberbűnözők azóta is előszeretettel alakítgatják. Így aztán a károkozó folyamatosan fejlődik, ami egyrészt megnehezíti a felismerését, másrészt mind több adat kerül veszélybe.
A BlackPOS legújabb variánsa összességében az elődjei által kitaposott úton jár, de bizonyos technikái kifinomultabbakká váltak. Jó példa minderre, hogy a kártevő továbbra is a POS terminálokon futó alkalmazások folyamatait, illetve az azokhoz tartozó memóriaterületeket kémleli, azonban nem minden esetben aktivizálódik. Azokat a folyamatokat nem monitorozza - és ezzel csökkenti a lebukásának valószínűségét -, amelyek biztosan nem kezelnek kártyaadatokat. Ennek megfelelően nem kotorászik egyebek mellett a taskmgr.exe, az svchost.exe, a winlogon.exe, a wininit.exe, a cfmon.exe, a services.exe stb. rendszerfolyamatok által lefoglalt memóriaterületeken sem.
A Trend Micro beszámolója szerint a BlackPOS egy futtatható fájl révén kerül fel a rendszerekre, és négy paraméterrel (-[start|stop|install|uninstall]) szabályozható a működése. Ezek közül a legfontosabb az install és a start. Az előbbi paraméterrel történő futtatása esetén a károkozó létrehoz egy Windows-os szolgáltatást "[antivírus cég neve] Framework Management Instrumentation" néven, majd a start segítségével rögtön indítható. Mint látható a trójai egy víruskereső szolgáltatásnak próbálja álcázni magát, miközben folyamatosan szkenneli a memóriát, és különféle reguláris kifejezések alapján igyekszik kártyaszámokhoz, illetve klónozáshoz felhasználható adatokhoz hozzájutni. A számára érdekes adatokat egy McTrayErrorLogging.dll nevű fájlba menti le, amit rendszeres időközönként szerverekre tölt fel hálózati megosztásokon keresztül.
A POS terminálokat fertőző kártékony programok ellen többszintű védelemre van szükség, aminek a naprakész vírusvédelem mellett ki kell terjednie a hálózatbiztonságra, és a terminálok megfelelő hozzáférés-kezelésére, izolációjára is.
-
A TinyMCE kapcsán XSS-hibákra derült fény.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.