PC-k ezrei támadják a kártyaelfogadókat
Egy olyan érdekes, de annál problémásabb botnetre derült fény, amely kifejezetten bankkártyák elfogadására alkalmas terminálok veszélyeztetésére termett.
A FireEye, valamint az IntelCrawler biztonsági cégek kutatói egy olyan újabb támadássorozatra lettek figyelmesek, amely POS (Point of Sale) terminálokra jelent kockázatot. Ez önmagában még nem lenne túl meglepő, hiszen az elmúlt időszakban elszaporodtak azok a támadások, amelyek bankkártyák elfogadására képes terminálokat, rendszereket sújtanak. Számos POS-kompatibilis károkozó létezik, amelyek különféle kémkedésre alkalmas módszerekkel igyekeznek értékes kártyaadatokhoz juttatni a terjesztőiket. A legutóbb horogra akadt – amúgy nem teljesen új – károkozó, a BrutPOS nagy intenzitással vetette bele magát az adatlopásba, és egy kártékony hálózatot is felépített.
A BrutPOS által kialakított botnet legalább február óta végzi a dolgát, és szedi az áldozatait. Az eddigi vizsgálatok szerint a csalóknak a hálózatukba több mint ötezer számítógépet sikerült bevonniuk azáltal, hogy azokat a BrutPOS károkozóval fertőzték meg. A botnet és egyben az alvilági akció kiterjedését jól jellemzi, hogy a BrutPOS 119 országban ütötte fel a fejét. A kutatók a mai napig 60 kompromittált POS terminált azonosítottak, amelyek közül 51 az Egyesült Államokban működött, vagy működik. Ezekről a tolvajok olyan adatokat kaparintottak meg, amikkel (mágnescsíkos) bank-, illetve hitelkártyákat tudtak hamisítani, klónozni.
Támadás két felvonásban
A BrutPOS alapvetően kétlépcsős támadásokat segít elő. Először hozzáférést biztosít a POS-terminálokhoz, majd azokról megpróbál adatokat kiszivárogtatni. Az első fázisban a jogosulatlan elérést RDP (egyes esetekben VNC vagy PC Anywhere) kapcsolatokon keresztül biztosítja. Ennek során egy előre összeállított, gyakori felhasználóneveket és jelszavakat tartalmazó lista alapján próbálkozásos (brute force) módszerekkel igyekszik hozzáférni a kiszemelt rendszerekhez. A kutatók megemlítették, hogy az elfogadóhelyeken használt leggyakoribb, a BrutPOS által kifürkészett jelszavak a következők voltak (többségében rendszergazdai fiókokhoz):
- pos
- Password1
- aloha12345
- micros
- pos12345
Részlet a károkozó webes felületéből. Célkeresztbe állított IP címtartományok és a jelszavak listája.
Forrás: IntelCrawler
A fentiekből látszik, hogy gyakran nem kell sokat találgatnia a károkozónak, hogy végül bejusson egy rendszerbe. Amikor ez megtörténik, akkor kezdetét veszi a második támadási fázis. A trójai először feltérképezi az adott rendszert, majd megállapítja, hogy azon van-e POS-szoftver. Amennyiben igen, akkor rögtön nekilát a memória ellenőrzésének, amelyből kártyaadatokat gyűjt ki, és ment le. A megkaparintott adatokat pedig kiszivárogtatja a terjesztői számára.
Prémium előfizetéssel!
-
Számos biztonsági rést foltozott be az Autodesk a különféle AutoCAD alkalmazásokon.
-
Kritikus és nulladik napi sebezhetőségekre derült fény a Red Hat OpenShift Container Platform kapcsán.
-
Egyre szélesebb körben indulnak az Apache Tomcat egyik hibáját kihasználó támadások.
-
Kritikus veszélyességű hibák jelentenek kockázatot az IBM QRadar SIEM esetében.
-
A GitLab fejlesztői fontos biztonsági frissítéseket tettek letölthetővé.
-
A Juniper Junos OS egy nulladik napi biztonsági hiba miatt szorul frissítésre.
-
A PHP kapcsán fél tucat sérülékenységre derült fény.
-
Kritikus veszélyeségű hibákról számolt be a Microsoft az Edge kapcsán.
-
Az Adobe kilenc biztonsági rést foltozott be a PDF-kezelő szoftverein.
-
Az Adobe InDesign kritikus veszélyességű sebezhetőségektől vált meg.
A félelem hatékony fegyver, és a hackerek tudják, hogyan győzzék meg az embereket, hogy azonnali és meggondolatlan lépéseket tegyenek.
Az ESET elnyerte az AV-Comparatives 2024-es Év Terméke díját az ESET HOME Security Essential megoldásával.
