Sunyi trójai lopkodja a bankkártyák adatait

Egy olyan régóta alattomosan terjedő kártékony programra derült fény, amely bankkártyák elfogadására alkalmas terminálokról lopkodja az értékes adatokat.
 

Az elmúlt egy évben észrevehető mértékben megemelkedett azon kártékony programok mennyisége, amelyek kifejezetten a bank- és hitelkártyák elfogadására alkalmas POS terminálokat fertőzik, és azokról próbálnak minél több értékes adatot kiszivárogtatni a terjesztőik számára. E károkozók alapvetően kémprogramoknak tekinthetők, azonban rendelkeznek olyan egyedi képességekkel, amik révén célzottan tudnak kártyainformációkat felderíteni. Legtöbbször a fertőzött terminál memóriáját elemzik, és egyes folyamatok által használt memóriaterületek lementésével, illetve feldolgozásával nyernek ki számukra érdekes adatokat. Pontosan ezt teszi az a PwnPOS trójai is, amely több éven keresztül maradt rejtve. 

Elsőként a Trend Micro kutatói vették észre, és vizsgálták a PwnPOS trójait. Az elemzéseik során megállapították, hogy a károkozó legalább 2013 óta aktívan terjed a Windows alapú POS terminálok között. Elsősorban kis- és közepes méretű cégek rendszereibe jutott be, és leginkább Japánban, Ausztráliában, Indiában, Kanadában, Németországban, Romániában, valamint az Egyesült Államokban ütötte fel a fejét. Jelenleg nincs információ arról, hogy Magyarországon is tiszteletét tette volna.

A biztonsági szakemberek szerint a PwnPOS jól mutatja, hogy egy kártékony program miként tud hosszú időn keresztül észrevétlen maradni. Ráadásul a szóban forgó trójai mindezt meglehetősen egyszerű módszerekkel érte el. Az egyik trükkje, hogy nem állandóan fut a rendszereken. Amikor elindul, akkor bemásolja a saját állományát a Windows rendszerkönyvtárába (%SystemRoot%\system32\wnhelp.exe néven), majd létrehoz egy "Windows Media Help" nevű szolgáltatást. Amennyiben "-service" paraméterrel indul, akkor ezt a szolgáltatást úgy állítja be, hogy az operációs rendszer minden egyes újraindításakor automatikusan betöltődjön. Ha pedig a "-del" paramétert kapja, akkor törli a szolgáltatást. Ezzel a támadók ütemezhetik, vagy manuálisan szabályozhatják, hogy a szerzeményük miként aktivizálódjon, és mikor vonuljon háttérbe. Emellett a trójai arra is figyel, hogy lehetőleg akkor töltődjön be a memóriába, amikor rendszergazdai jogosultságokkal rendelkező felhasználó jelentkezik be a Windows-ba. További fontos jellemzője, hogy 32 bites és 64 bites rendszereken is életképes. 
Kitaposott utak

A PwnPOS adatlopással kapcsolatos képességei alapvetően hasonlítanak az egyéb, hasonló célokat dédelgető ártalmas programokéhoz. Így ez a kártevő is rendelkezik egy úgynevezett "RAM scraper" összetevővel, ami az adatgyűjtést szolgálja. Ez a modulja az első variánsának megjelenése óta semmit sem változott, azaz memóriában való kotorászással, különféle reguláris (RegExp) kifejezések alapján történő kártyainformáció-gyűjtéssel szolgálja a terjesztőit. A trójai másik komponense a megkaparintott adatok kiszivárogtatását segíti elő. Kétféle módszer szerint működik: vagy jelszóval védett, ZIP-tömörítésű fájlba csomagolja be a lopott adatokat, és küldi ki SSL-lel védett SMTP kapcsolaton keresztül egy e-mail címre, vagy mindezt az AutoIt felhasználásával teszi meg. 

A PwnPOS és a hasonló kártékony programok ellen a POS terminálok üzemeltetői tudnak leginkább védekezni. A vírusvédelem terminálokra való kiterjesztése, és a POS-felügyelet megerősítése elengedhetetlen ahhoz, hogy a kockázatokat megfelelően lehessen csökkenteni.