Вредоносное программное обеспечение розничной торговли возврата вытягивает пользовательскую информацию от систем POS

обеспечение

Американская Секретная служба предупреждает, который недавно обнаружил, что вредоносное программное обеспечение, названное Возвратом, возможно, уже влияло на 600 компаний.Американское правительство предупреждает относительно недавно обнаруженной формы розничного вредоносного программного обеспечения, известного как Возврат, который выкорчевывает информацию о пользователе от систем торговой точки (POS).Предупреждение прибывает из Компьютерной Команды Готовности Чрезвычайной ситуации США (американский CERT), сотрудничающий с Секретной службой, Национальной Кибербезопасностью и Коммуникационным Центром Интеграции (NCCIS) и Центром Совместного пользования информацией и Анализа Финансового сектора (FS-ISAC). Вредоносное программное обеспечение было сначала проанализировано поставщиком систем обеспечения безопасности Trustwave, работающим в соответствии с договором с Секретной службой.

Согласно американскому CERT техническое предупреждение, вредоносное программное обеспечение Возврата сначала появилось в октябре 2013 и все еще работает по крайней мере в трех основных вариантах. Вредоносное программное обеспечение Возврата в состоянии зарегистрировать нажатия клавиш, память устройства царапанья для данных кредитной карты и может связаться с другими узлами в большем ботнете. Розничные вредоносные риски стали все более и более видными в прошлом году с многократными нарушениями, о которых сообщают.Возврат является вредоносным программным обеспечением и риском ботнета, сказал Карл Сиглер, аналитик угрозы в Trustwave. «Это — вредоносное программное обеспечение, которое организовано в ботнет, с помощью центрального командного пункта [C2] сервер», сказал Сиглер eWEEK. «Система C2 обеспечивает централизованное управление всех зараженных систем POS, а также средства обновить вредоносное программное обеспечение до новых версий».

В то время как Возврат только теперь публично раскрывается, он уже оказал большое влияние. Сиглер отметил, что Trustwave в настоящее время работает над четырьмя расследованиями судебной экспертизы постнарушения, которые включают вредоносное программное обеспечение Возврата. Через все четыре были заражены почти 600 компаний, и он ожидает, что больше войдет.

Возврат не заражает машины POS посредством типичного использования фишинга, в котором атакующий обманывает пользователя для нажимания на злонамеренную ссылку. Таким образом, нет никакой потребности использовать методы типа фишинга или наборы использования для заражения системы Возвратом, сказал Сиглер.

«Преступники, вынужденные скотами учетные данные программного обеспечения удаленного администрирования поставщиков POS для установки вредоносного программного обеспечения», объяснил Сиглер. «Так как люди обычно не проверяют электронную почту или просматривают веб-сайты от системы POS, те векторы атаки [фишинг] бесполезны в этом случае».В атаке грубой силой хакер неоднократно пробует комбинации имени пользователя и пароля, пока они не получают доступ. Согласно американскому CERT, с 31 июля, антивирусные технологии не обнаруживали Возврат, хотя это, теперь, вероятно, изменится благодаря консультации.Одно из основного смягчения для ограничения риска Черного хода, управляя и ограничивая доступ удаленного рабочего стола в системе POS.

Удаленный рабочий стол является методом, которым атакующие Возврата в состоянии удаленно получить доступ к системам.Идя шаг вперед, все ритейлеры, которые принимают платежи, должны быть соответствующими Отраслевому Стандарту по защите данных Платежной карты (DSS PCI). Сиглер отметил, что DSS PCI обращается к определенным средствам управления, которые, возможно, смягчили или предотвратили заражение Возврата.Раздел 8.3 стандарта DSS PCI указывает, что двухфакторная аутентификация должна использоваться для удаленного доступа, сказал Сиглер.

Двухфакторная аутентификация требует второго пароля (или фактор), прежде чем пользователь будет в состоянии войти в систему.«Реализация двухфакторной аутентификации, возможно, предотвратила атаку грубой силой, которая позволила начальное заражение», сказал Сиглер.Другое ключевое требование DSS PCI — то, что компании имеют брандмауэр на месте, который защищает данные владельца карты.«Надлежащие правила брандмауэра средств управления доступом, возможно, предотвратили экс-фильтрацию данных карты, даже если зараженный Возвратом», сказал Сиглер.

Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.


3 комментария

  1. Я вот че то щас не понял… Не давно говорил и Путен и Медведев, что санкции это хорошо, это гуд, они Россию закаляют, делают крепче и россияне нучатся дышать ж.о.п.о.й , а что сейчас случилось? Не дышится ?

  2. Пусть оставшимися проводами от блокады возьмут….

  3. Дак вот ты какой, патриот украины. Шприц увидел и в обморок. Херой)))

Оставить коммент