Mehrgerätelizenzen (Mengenrabatte)

Region ändern

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Malware PwnPOS

PwnPOS

Von GoldSparrow in Malware
Übersetzen Sie in:
Deutsch

PwnPOS ist eine PoS-Karten-Scraper-Malware (Point-of-Sale), die laut dem Forscher, der sie entdeckt hat, dank ihrer relativ einfachen Struktur seit über sieben Jahren unentdeckt bleibt. PwnPOS besteht aus zwei Modulen - eines ist für das Scrapen des Speichers des gefährdeten Systems verantwortlich, während das andere die Exfiltration der gesammelten Daten durchführt. Es ist zu beachten, dass die Bedrohung nur auf 32-Bit-Systemen ausgeführt werden kann. Auf den ersten Blick mag dies ein ziemlich großes Hindernis für die Bedrohungspläne der Hacker sein, da in der aktuellen Landschaft die meisten Sektoren auf 64-Bit-Systeme umgestellt haben. Die Point-of-Sale-Infrastruktur benötigt nicht unbedingt ein Update, um optimal zu funktionieren, obwohl viele immer noch Windows XP oder Windows 7 verwenden.

Bisher wurde festgestellt, dass bei PwnPOS-Vorgängen zusätzliche POS-Malware wie BlackPOS und Alina bereitgestellt wird. In Bezug auf die geografische Verbreitung der entdeckten Opfer konnte keine konkrete Region ermittelt werden, da Ziele auf mehreren verschiedenen Kontinenten gefunden wurden - von Japan über Deutschland und Rumänien, die USA und Kanada bis hin zu Australien und Indien.

Standardmäßig installiert sich PwnPOS unter ' % SystemRoot% \ system32 \ wnhelp.exe. 'Es wird dann vorgeben, ein' Windows Media Help' - Dienst zu sein, und sich selbst über den Schalter ' -service ' ausführen. Durch zusätzliche Argumente kann sich die Bedrohung entweder selbst hinzufügen oder aus der Liste der Prozesse entfernen, was zu einem bestimmten Zustand der Persistenz auf dem gefährdeten System führt.

Der Daten-Scraping-Prozess wird ausgeführt, indem die Liste der ausgeführten Prozesse von PwnPOS aufgelistet wird, wobei sich die Berechtigung ' SeDebugPrivilege ' erteilt. Jede geeignete Zeichenfolge wird mithilfe des Luhn-Algorithmus überprüft, bevor sie in einer DAT-Datei mit dem Namen ' perf419.dat ' gespeichert wird. Alle Informationen aus der Datei können dann von einer von zwei verschiedenen Binärdateien übernommen und exfiltriert werden.

Im Trend

Am häufigsten gesehen

Wird geladen...