इस हफ्ते
हमने बड़े अमेरिकी रिटेलर चेन टारगेट के समझौता से जुड़ी सनसनीखेज कहानी के बारे में
लिखा । 50 मिलियन से अधिक लक्षित ग्राहकों और ग्राहकों के क्रेडिट कार्ड विवरण से समझौता किया गया है। हमलावरों ने कंपनी के एक सर्वर पर एक अच्छी तरह से तैयार किए गए हमले का इस्तेमाल किया और पीओएस टर्मिनलों की सेवा करने वाले कंप्यूटरों पर केंद्रीय रूप से दुर्भावनापूर्ण कोड स्थापित करने के लिए आंतरिक नेटवर्क तक पहुंच प्राप्त करने में सक्षम थे। एक दुर्भावनापूर्ण कोड जिसे
Trojan.POSRAM (iSight) के रूप में जाना जाता है या भुगतान लेनदेन के समय क्रेडिट कार्ड डेटा तक पहुंच प्राप्त करने के लिए हमलावरों द्वारा
BlackPOS के एक नए संशोधन का उपयोग किया
गया था । मीडिया में, इस दुर्भावनापूर्ण कोड को
KAPTOXA के रूप में संदर्भित किया गया था, नाम iSight रिपोर्ट और IntelCrawler जानकारी से लिया गया है। उत्तरार्द्ध
ने मालवेयर के लेखक के रूप में हमारे एक हमवतन की
ओर इशारा किया।
लक्ष्य के समझौते के बारे में जानकारी सामने आने के बाद, एक अन्य रिटेलर नीमन मार्कस ने भी पिछले साल दिसंबर के मध्य में क्रेडिट कार्ड डेटा की चोरी की
घोषणा की, इसके अलावा, पीओएस टर्मिनलों का उपयोग करके भुगतान का मामला था, क्योंकि इससे ऑनलाइन स्टोर के ग्राहक प्रभावित नहीं हुए। आज, यह बताया गया कि स्टोर की एक और प्रमुख माइकल्स श्रृंखला कार्ड डेटा की चोरी की जांच कर रही है। बैंकिंग संस्थानों की सुरक्षा सेवाओं ने पहले से ही माइकल्स के माध्यम से चोरी किए गए क्रेडिट कार्ड डेटा तक पहुंच के सैकड़ों मामले दर्ज किए हैं।
यह ध्यान दिया जाना चाहिए कि
कुछ दिन पहले, एफबीआई ने अमेरिकी खुदरा विक्रेताओं को एक निजी रिपोर्ट भेजी
थी जिसमें ब्लैकओएस जैसे दुर्भावनापूर्ण कोड को स्थापित करने के लिए पीओएस टर्मिनलों पर आसन्न हमलों की चेतावनी दी
गई थी ।
यूएस फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन ने पिछले सप्ताह खुदरा कंपनियों को एक "गोपनीय" मेमोरी-पार्सिंग मालवेयर द्वारा उत्पन्न जोखिमों का वर्णन करते हुए एक गोपनीय, तीन-पृष्ठ रिपोर्ट वितरित की, जो पॉइंट-ऑफ-सेल (पीओएस) सिस्टम को संक्रमित करती है, जिसमें कैश रजिस्टर और क्रेडिट-कार्ड शामिल हैं। स्वाइपिंग मशीन स्टोर चेकआउट ऐज़ल्स में पाई जाती हैं।
ऐसे दुर्भावनापूर्ण कोड का उद्देश्य एक विशेष OS प्रक्रिया को भेदना है, जिसके संदर्भ में एक भुगतान लेनदेन किया जा रहा है,
चुंबकीय पट्टी डेटा पढ़ा जाता है, पिन कोड और अन्य गोपनीय डेटा संसाधित होते हैं। आमतौर पर, इन क्षमताओं वाले मैलवेयर को मेमोरी ग्रैबर या मेमोरी पार्सर या CC डेटा पार्सर के रूप में संदर्भित किया जाता है, यह संकेत देते हुए कि यह आवश्यक प्रक्रिया की याद में विशिष्ट बाइट पैटर्न की तलाश करता है जो कि क्रेडिट कार्ड से टर्मिनल द्वारा ली गई जानकारी के अनुरूप होता है। उदाहरण के लिए,
Trojan.POSRAM के मामले में, दुर्भावनापूर्ण कोड इस डेटा को pos.exe प्रक्रिया से एकत्रित करता है, इसे सिस्टम फ़ाइल में लिखता है, और आवश्यक रूप से दूरस्थ सर्वर पर भेजता है।
एफबीआई रिपोर्ट में एक दुर्भावनापूर्ण उपकरण एलिना का उल्लेख किया गया है, जिसका उपयोग हमलावरों द्वारा आवश्यक प्रक्रिया से डेटा एकत्र करने के लिए किया जा सकता है। इसमें एक घटक अपडेट फ़ंक्शन भी है, जिससे इसे पता लगाना अधिक कठिन हो सकता है।
Trojan.POSRAM नमूनों में से एक
VirusTotal पर स्थित है और इसका पता लगाने का स्तर
33/50 है ।