新型POS终端恶意软件被发现,曾盗走大量信用卡数据
思科Talos安全情报及研究团队发现了一款新型POS恶意软件PoSeidon,它比之前发现的POS恶意软件更复杂、危害性更大。
PoSeidon有多厉害?
PoSeidon同时拥有Zeus银行木马及BlackPOS恶意软件的功能,二者曾在2013年及2014年从美国零售巨头塔吉特及家得宝卷走数百万美元。
PoSeidon恶意软件会从POS终端删除内存以查找主要发卡商如Visa、MasterCard、AMEX及Discover的卡号序列,并且继续通过Luhn 算法来验证信用卡或储蓄卡卡号的有效性。
研究人员表示,PoSeidon随后会将所捕获的信用卡信息提取至俄罗斯(.ru)域名并且很可能会转售出去。
“PoSeidon是针对POS系统的另外一款不断增多的恶意软件,它展现了恶意软件作者高超的技巧及方法,”思科安全解决方案团队在博客中写道。
“攻击者将持续以POS系统为目标,采用多种混淆技巧以避免被检测到。只要POS攻击能够持续带来回报,攻击人员会持续在创新及开发新恶意软件家族方面持续投资。”
PoSeidon工作原理是什么?
PoSeidon工作原理
PoSeidon恶意软件中包括一个加载器二进制,目的是为了一直待在目标机器上躲避重启及用户登出。加载器随后会从命令及控制服务器接受其他组件。
随后下载的二进制FindStr会安装一个Keylogger组件,对POS设备的内存进行扫描查询信用卡号序列。
被识别出的号码通过Luhn算法予以验证,随后被加密并被发送给现有的外泄服务器。这些服务器大部分属于俄罗斯域名:
• linturefa.com
• xablopefgr.com
• tabidzuwek.com
• lacdileftre.ru
• tabidzuwek.com
• xablopefgr.com
• lacdileftre.ru
• weksrubaz.ru
• linturefa.ru
• mifastubiv.ru
• xablopefgr.ru
• tabidzuwek.ru
在过去的几年中,美国发现了大量POS恶意软件,它们收集用户信用卡磁条数据,然后在地下黑市售出。
如何避免被攻击?
研究人员表示,网络管理员应当时刻保持警惕并且按照行业最佳实践标准来行动,这样他们就可以保护自己免受来自现金POS恶意软件的威胁。
Luhn算法科普
Luhn算法或Luhn公司也被称为“模数10”或“模10”算法,它是一种用来验证多种识别码的简单校验和公式。这些识别码包括IMEI号码、美国国家提供商标识符号码以及加拿大社会保险号码。这一算法由IBM科学家Hans Peter Luhn创建,获得的美国专利号为No.:2,950,048,于1954年1月6日申请,在1960年8月23日获得专利。