RtPOS

RtPOS ist ein PoS-Daten-Scrapper (Point-of-Sale), der als relativ einzigartige Bedrohung eingestuft wurde und nicht Teil einer vorhandenen Malware-Familie ist. Der Name der Bedrohung wurde von einem Debug-Pfad abgeleitet, der in der von Infosec-Forschern analysierten Stichprobe gefunden wurde.

Nach der Analyse des Codes wurde festgestellt, dass RtPOS im Vergleich zu fortgeschritteneren Kreditkartenschabern eine relativ unkomplizierte Bedrohung darstellt. Es werden nur zwei Argumente akzeptiert - / install und / remove, die für den Installationsprozess und das Entfernen der Bedrohung vom Zielgerät verantwortlich sind. Als grundlegende Form der Verschleierung gibt die Malware vor, ein " Windows-Anmeldedienst" zu sein.

Sobald RtPOS sich im gefährdeten System befindet, beginnt es mit seiner Bedrohungsaktivität, indem es über CreateToolhelp32Snapshot eine Liste der Prozesse des Geräts abruft. Anschließend wird die Liste mithilfe von Process32FirstW iteriert. Schließlich greift es auf den RAM zu, indem es die ReadProcessMemory- Funktion ausnutzt. Das Sammeln von Daten aus dem Speicher des Zielsystems ist für die meisten Kartenschaber ein häufiges Ziel, da hier Kartendaten gespeichert und verarbeitet werden, bevor eine Verschlüsselung angewendet wird. Wenn eine Kartennummer gefunden wird, validiert RtPOS sie mithilfe eines Luhn-Algorithmus. Alle erfassten Daten werden in einer DAT-Datei mit dem Namen " sql8514.dat " gespeichert, die von der Malware im Ordner " \ Windows \ SysWOW64" erstellt wurde.

Wie bereits erwähnt, fehlen RtPOS mehrere Funktionen, die bei ausgereifteren Bedrohungen dieser Art vorhanden sind. Beispielsweise können die gesammelten Daten nicht selbst exfiltriert werden. Dies könnte eine bewusste Entscheidung sein, um die Aufmerksamkeit zu verringern, die die Bedrohung erzeugen könnte, was zu einer längeren Präsenz auf dem gefährdeten Gerät und einer erhöhten Anzahl verschrotteter Daten führt. Es könnte auch signalisieren, dass die Hacker einen stabilen Zugangspunkt zum Netzwerk des Ziels haben.