博思艾伦汉密尔顿研究人员详细介绍新的恶意软件,RtPOS

来自博思艾伦汉密尔顿的安全研究人员发现了一种以前看不见且未记录的恶意软件应用程序,该应用程序针对销售点(POS)系统。

根据上周公布的初步技术分析,这些恶意软件名为RtPOS,似乎是俄罗斯人。

总体而言,这种新的恶意软件应用程序远不如其他POS恶意软件应用程序那样复杂,例如TreasureHunter,UDPoS,RawPOS或MajikPOS。

RtPOS是一种不成熟的威胁

研究人员表示,RtPOS只包含一组有限的功能。例如,恶意软件的二进制文件只接受两个参数-install和remove-而不是其他任何参数。

恶意软件也只是一个经典的RAM刮板,没有任何额外的铃声和口哨声。这与许多最近试图移植并包含来自信息输出器和远程访问木马的功能的POS恶意软件毒株形成对比,为骗子提供了数据搜集和收集的一体化威胁。

相比之下,RtPOS有一个主要功能,就是观看PC的RAM以查看看起来卡号的文本模式,并将这些数字保存到本地DAT文件中。它不会查找SSN,密码或驱动程序的许可证数据或其他任何内容。

但这并不是RtPOS最引人注目的特征。他们说,恶意软件没有网络功能,这意味着它不会联系远程服务器以获取其他命令或泄露被盗数据。

所有收集的支付卡数据都存储在本地DAT文件中并保留在那里。

RtPOS看起来像是一个in-dev恶意软件

目前,研究人员无法分辨为什么会发生这种情况,但主要有两种理论。

第一个,也是最有可能的是,恶意软件仍处于开发阶段,未来将添加数据泄露功能。许多人认为这是正确的假设,因为恶意软件的源代码也没有任何混淆。缺乏任何代码混淆是恶意软件早期阶段的常见特征。

第二个理论是攻击者使用另一种恶意软件来感染用户,他们只部署RtPOS,其唯一目的就是收集支付卡数据和支付卡数据。攻击者可能正在使用原始恶意软件或其他工具来泄露收集的数据,而无需在RtPOS本身中打包此功能。

这种情况也是一种有效的理论,因为在较少的时间间隔内以其他方式泄露数据会减少恶意软件的网络占用空间,这可能会阻止某些端点保护系统发现恶意软件的数据泄露活动。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/booz-allen-hamilton-researchers-detail-new-rtpos-point-of-sale-malware/

扫码关注云+社区

领取腾讯云代金券