Újabb vírus fenyegeti a bankkártyás eszközöket

Egy olyan újabb kártékony program lepleződött le, amely bankkártyák elfogadására alkalmas terminálokat fertőz.
 

A POS terminálokat ostromló kártékony programok az elmúlt években sok problémát okoztak, és nem egyszer jelentős biztonsági incidensekhez járultak hozzá. Minderről olyan vállalatok is tudnának mesélni, mint amilyen például a Hyatt Hotels, a Chipotle Mexican Grill vagy az Avanti Markets. Korábban e cégek rendszereibe is bekerültek POS-károkozók, és jelentős mennyiségű bank-, illetve hitelkártyával kapcsolatos adathoz juttatták hozzá a kiberbűnözőket. Ugyanakkor amióta az Egyesült Államokban is egyre inkább terjednek a nehezebben támadható, hamisítható EMV-s kártyák, azóta a csalók inkább már az online tranzakciók kikémlelésére helyezik a hangsúlyt. Persze nem mindegyikük. Például az a csoport is megragadt a régi módszereknél, amely kifejlesztette, és terjeszteni kezdte a legújabb POS-malware kódját.
 
Az új kártevőre a Forcepoint biztonsági kutatói figyeltek fel, akik alaposan elemezték a malware működését. Kiderült, hogy a károkozó vagy az Intel, vagy a LogMeIn ismertségével él vissza. A legfrissebb variánsa például egy update.exe nevű fájl formájában kerül fel a rendszerekre, amelynek kitömörítését követően egy LogmeinServicePack_5.115.22.001.exe és egy logmeinumon.exe nevű állomány bukkan fel a terminálon. Ezek egy szolgáltatói és egy monitorozó komponenst tartalmaznak. Az előbbi feladata, hogy biztosítsa az állandó jelenlétet a terminálon, és elindítsa a monitorozó összetevőt, amely számos funkcióval rendelkezik. Így például képes felismerni a rendszeren lévő víruskeresőket, illetve azt is, ha virtualizált környezetben fut. Emellett létrehoz egy egyedi azonosítót, amelyet a vezérlőszerverével folytatott kommunikáció során is használ.
 
A károkozóhoz tartozik egy batch fájl is, amelynek révén egy digitális ujjlenyomat készül a fertőzött terminálról, valamint sor kerül rendszerinformációk kiszivárogtatására. Egyebek mellett a hálózati erőforrásokról, a folyamatokról, valamint a telepített biztonsági frissítésekről is értesülhetnek a csalók.