今週、アメリカの大手小売チェーンTargetの妥協に関連したセンセーショナルなストーリーについて
書きました。 5,000万を超える対象顧客および顧客のクレジットカードの詳細が侵害されました。 攻撃者は、会社のサーバーの1つに対して十分に準備された攻撃を使用し、内部ネットワークにアクセスして、POS端末に対応するコンピューターに悪意のあるコードを集中的にインストールすることができました。
Trojan.POSRAM (iSight)または
BlackPOSの新しい修正として知られる悪意のあるコードは、支払い取引時にクレジットカードデータにアクセスするために攻撃者によって使用されました。 メディアでは、この悪意のあるコードは
KAPTOXAと呼ばれ、その名前はiSightレポートとIntelCrawler情報から取られています。 後者
は 、マルウェアの作者としての同胞の一人を
指しています。
Targetの侵害に関する情報が現れた後、別の小売業者のNeiman Marcusも昨年12月中旬にクレジットカードデータの盗難を
発表しました。さらに、オンラインストアの顧客に影響を与えないため、POS端末を使用した支払いの問題でした。 今日、別のマイケルズの主要チェーン店がカードデータの盗難を調査していることが報告されました。 銀行機関のセキュリティサービスは、マイケルズを通じて盗まれたクレジットカードデータへの不正アクセスの数百件のケースをすでに記録しています。
数日前、 FBIは、
BlackPOSのような悪意のあるコードをインストールするために、POS端末に対する差し迫った攻撃について警告するプライベートレポートを米国の小売業者に送信しました。
米国連邦捜査局は先週、小売店に3ページの機密報告書を配布し、レジやクレジットカードなどのPOSシステムに感染する「メモリ解析」マルウェアがもたらすリスクについて説明しました。店のレジの通路にあるスワイプマシン。
このような悪意のあるコードは、支払いトランザクションが実行され、
磁気ストライプデータが読み取られ、PINコードおよびその他の機密データが処理されるコンテキストで、特別なOSプロセスに侵入することを目的としています。 通常、これらの機能を備えたマルウェアはメモリグラバーまたはメモリパーサーまたはCCデータパーサーと呼ばれ、端末がクレジットカードから取得した情報に対応する必要なプロセスのメモリ内の特定のバイトパターンを探すことを示唆しています。 たとえば、
Trojan.POSRAMの場合、悪意のあるコードはこのデータをpos.exeプロセスから収集し、システムファイルに書き込み、必要に応じてリモートサーバーに送信します。
FBIレポートでは、攻撃者が必要なプロセスからデータを収集するために使用できる悪意のあるツールAlinaに言及しています。 また、コンポーネントの更新機能もあるため、検出が難しくなります。
Trojan.POSRAMサンプルの1つは
VirusTotalにあり、検出レベルは
33/50です。