一种名为Spark的恶意软件程序窃取了销售点(POS)系统中的支付卡数据,可能是对名为Alina的老木马的修改,突显了网络犯罪分子持续的利润丰厚的业务
Spark在被机器上运行的专用软件处理时从被盗系统的RAM(随机存取存储器)窃取卡数据。在过去的两年里,在许多零售商的大量数据泄露事件中,包括Target,Home Depot和Neiman Marcus都发生了类似的内存刮擦恶意软件。
Spark通过AutoIt脚本安装在系统上,该脚本先前已转换为可执行文件,根据安全公司Trustwave的研究人员的说法
[进一步阅读:如何从Windows PC删除恶意软件]AutoIt是一种用于自动化Windows图形用户界面交互的脚本语言
此分发方法与一个被另一个名为JackPOS的POS恶意软件程序使用,这就是为什么一些防病毒厂商将Spark检测为JackPOS的原因。
使用像AutoIt,Python或Perl这样的脚本语言编写的加载程序来安装恶意软件并不新鲜,而且是一种相当简单的技术。这些脚本被转换成可执行文件,这些文件还嵌入了在目标系统上执行它们所需的解释器,使它们的尺寸非常大。“然而,在这种情况下,脚本在加载到动态变量中的二进制文件中内存并修复执行所需的所有地址,“Trustwave研究人员说。 “这是一种更先进的技术,可以与不同的嵌入式二进制代码一起重复使用。”Trustwave研究人员称,Spark与2012年开始的POS恶意软件家族Alina的共同点远远超过JackPOS。这包括用于跟踪受感染系统的方法,由于不能处理内存中的卡数据而不受监控的系统进程的黑名单,以及用于混淆与被盗数据的命令与控制服务器通信的方法
以前的Alina变体使用了几个合法的可执行文件名,而JackPOS几乎专门尝试伪装成Java或与Java相关的实用程序。相比之下,Spark是一个名为hkcmd.exe的文件,它被复制到%APPDATA% Install 文件夹中。
“关于Alina源代码被抛售以及JackPOS成为继任者的传言和猜测到Alina代码库“,Trustwave的研究人员在周四的博客中说。 “Spark的变体显示有人最近更新了Alina源代码。”
Spark于2013年末首次出现,但最近在一个月前曾出现在野外,Trustwave的研究人员表示。带有恶意软件的POS终端仍然是网络犯罪分子利润丰厚的业务,新的恶意程序每隔几个月就会针对这些系统。针对POS设备的最常见攻击媒介是被盗或薄弱的远程管理证书,可以使用强力方法轻松发现。
一些新的POS终端在客户的信用卡被刷卡的瞬间通过加密来保护卡数据免受恶意软件的攻击。但是,用支持点对点加密的新型号取代现有的POS系统对于许多零售商来说代价很高,这就是为什么这些攻击很快就不会消失的原因。
