Már vásárlási lázban égnek a kiberbűnözők

A kiberbűnözők újabb fejlesztésekkel készülnek az ünnepi bevásárló szezonra. Különösen a bank- és hitelkártyákra kíváncsiak.
 

Idén is tovább nőtt azon kártékony programok száma, amelyek bankkártyák elfogadására alkalmas számítógépeket igyekeznek térdre kényszeríteni. E károkozók legfontosabb sajátossága, hogy a POS terminálokra való felkerülésük után a memóriából kigyűjtik azokat az adatokat, amik felhasználásával visszaélésekre vagy akár kártyahamisításokra nyílhat lehetőségük a csalóknak. Mivel a kereskedelem éppen az év végi hajráját kezdi, ezért ilyenkor az online károkozások is megszaporodnak. Idén pedig a bankkártyákkal történő visszaélések száma is nagyobb mértékben nőhet, mint a korábbi években, különösen akkor, ha további POS-kártevők ütik fel a fejüket. Ezek legújabb képviselője az AbaddonPOS trójai.

Komplex károkozások

A Proofpoint biztonsági cég kutatóinak elemzése szerint az AbaddonPOS egy meglehetősen összetett támadássorozat részese. A komplexitást az is fokozza, hogy a károkozó nem jár egyedül, azaz egyéb ártalmas programok társaságában fertőz. Ezek egy része a trójai számítógépre való feljuttatásáért felel. Emiatt többlépcsős támadásokról beszélhetünk, amiknek a detektálása nem könnyű feladat.

Az eddigi vizsgálatok szerint az AbaddonPOS az éve elején felfedezett TinyLoader hathatós közreműködésével terjed. Azonban a helyzet annál bonyolultabb, mint hogy egy program beszerzi a számára kijelölt kártevőt. Ez esetben ugyanis a TinyLoader egy TinyDownloader nevű trójait tölt le, amely aztán feljuttatja a rendszerre a POS malware-t, illetve az ahhoz szükséges kiegészítő komponenseket. Itt kell megjegyezni, hogy az AbaddonPOS képes kártékony Word dokumentumok révén is terjedni.

Kotorászás a memóriában

Amikor az AbaddonPOS végül elindul egy terminálon, akkor rögtön nekilát a memória alapos átvizsgálásának. Ekkor track 1, illetve track 2 információkat kutat fel, amik a kártyák klónozását segíthetik. Eközben pedig számos olyan technikát vet be, amelyek a vírus felderítését, illetve elemzését hivatottak megnehezíteni.

Az AbaddonPOS további érdekessége, hogy a megkaparintott bankkártyainformációkat nem éppen hagyományos úton juttatja a terjesztői kezébe. A POS malware-ek világában eddig azt szokhattuk meg, hogy a károkozók elsősorban HTTP protokoll használatával szivárogtatják az adatokat. Ezzel szemben az új szerzemény készítői egy egyedi protokollt fejlesztettek ki a kártevővel folytatott kommunikációhoz, illetve adatcseréhez.

Éppen az év végén…

A Proofpoint szerint az új trójai jó alkalmat ad arra, hogy az év végi vásárlási lázban a kiberbűnözők maximalizálják a támadássorozatukhoz kapcsolódó bevételeiket. Ezért a következő hetekben fokozott óvatosságra lesz szükség, különösen a kereskedők oldalán. Nekik érdemes a POS terminálokat is kellő szintű védelemmel ellátni.