趨勢(shì)科技(Trend Micro)的研究人員無(wú)意中發(fā)現(xiàn)了MalumPOS病毒,它是一種新型的專門針對(duì)運(yùn)行在Micros公司和其他POS系統(tǒng)平臺(tái)的pos機(jī)的惡意軟件。
甲骨文公司去年以53億美元收購(gòu)了Micros公司,該公司因其為零售業(yè)和酒店服務(wù)業(yè)開發(fā)POS機(jī)系統(tǒng)和企業(yè)級(jí)信息軟件而聞名。根據(jù)甲骨文公司提供的數(shù)據(jù)來(lái)看,超過33萬(wàn)的Micros系統(tǒng)被部署在各個(gè)公司中,這些公司遍布全球180多個(gè)國(guó)家和地區(qū)。
MalumPOS這一惡意軟件通過許多方式進(jìn)行散布,其中包括偽裝成“英偉達(dá)顯示驅(qū)動(dòng)”來(lái)感染其他設(shè)備。一旦其感染了一個(gè)POS機(jī)設(shè)備,設(shè)備的威脅監(jiān)控就會(huì)運(yùn)行程序搜索設(shè)備內(nèi)存中記錄的有價(jià)值的銀行卡信息。趨勢(shì)科技在一份技術(shù)簡(jiǎn)報(bào)中提到這一惡意軟件甚至可以同時(shí)運(yùn)行一百個(gè)進(jìn)程。
那些被搜索到的信用卡信息將會(huì)被重新編碼并存儲(chǔ)在一個(gè)叫“nvsvc.dll”的文件中,這樣看起來(lái)就更像是合法的英偉達(dá)驅(qū)動(dòng)中普通的一部分。
MalumPOS是使用Delphi語(yǔ)言進(jìn)行編寫的,而且它使用正則表達(dá)式來(lái)搜尋信用卡密碼和其他有價(jià)值的數(shù)據(jù)。不同的正則表達(dá)式則被用來(lái)識(shí)別軌道1和軌道2數(shù)據(jù)。這一惡意軟件的目標(biāo)是Visa卡,美國(guó)運(yùn)通,發(fā)現(xiàn)卡,萬(wàn)事達(dá)和大來(lái)卡等信用卡,研究人員說道。
趨勢(shì)科技警告道,那些被竊數(shù)據(jù)可被用來(lái)復(fù)制支付卡或進(jìn)行欺騙性的網(wǎng)絡(luò)交易,大多數(shù)潛在的受害者都分布在美國(guó)。
對(duì)于POS機(jī)惡意軟件來(lái)說,利用正則表達(dá)式來(lái)識(shí)別支付卡信息確實(shí)不太尋常。但是專家們注意到這一惡意軟件使用的表達(dá)式之前就在Rdaserv惡意軟件庫(kù)中出現(xiàn)過。趨勢(shì)科技表示他們已經(jīng)確認(rèn)了Rdaserv和MalumPOS這兩個(gè)惡意軟件之間的許多相似之處,從而證明了這些威脅在某種程度上是有聯(lián)系的。
為了能夠偽裝成英偉達(dá)圖形驅(qū)動(dòng),惡意軟件的開發(fā)者還利用了舊的時(shí)間戳(例如:1992-06-19 17:22:17)并對(duì)應(yīng)用程序編程接口進(jìn)行動(dòng)態(tài)加載來(lái)騙過偵測(cè)。
雖然現(xiàn)在這一惡意程序看起來(lái)主要感染使用Micros公司平臺(tái)的設(shè)備,但研究人員認(rèn)為這一軟件也有能力在其它平臺(tái)系統(tǒng)上通過用戶對(duì)互聯(lián)網(wǎng)瀏覽器的訪問竊取信息,如Oracle Forms,Shift4。
“MalumPOS生來(lái)就是可配置的。這就意味著在未來(lái)威脅的制造者可以改變或者增加其他的進(jìn)程或目標(biāo)。例如,他可以在MalumPOS的攻擊目標(biāo)上加上Radiant或者NCR Counterpoint的POS機(jī)系統(tǒng)。”趨勢(shì)科技的威脅分析師Jay Yaneza在他的一篇博文中提到。