雷锋网6月8日晚间消息,趋势科技(Trend Micro)的研究人员无意中发现了MalumPOS病毒,它是一种新型的专门针对运行在Micros公司和其他POS系统平台的POS机的恶意软件。
甲骨文公司去年以53亿美元收购了Micros公司,该公司因其为零售业和酒店服务业开发POS机系统和企业级信息软件而闻名。根据甲骨文公司提供的数据来看,超过33万的Micros系统被部署在各个公司中,这些公司遍布全球180多个国家和地区。
MalumPOS这一恶意软件通过许多方式进行散布,其中包括伪装成“英伟达显示驱动”来感染其他设备。一旦其感染了一个POS机设备,设备的威胁监控就会运行程序搜索设备内存中记录的有价值的银行卡信息。趋势科技在一份技术简报中提到这一恶意软件甚至可以同时运行一百个进程。
那些被搜索到的信用卡信息将会被重新编码并存储在一个叫“nvsvc.dll”的文件中,这样看起来就更像是合法的英伟达驱动中普通的一部分。
MalumPOS是使用Delphi语言进行编写的,而且它使用正则表达式来搜寻信用卡密码和其他有价值的数据。不同的正则表达式则被用来识别轨道1和轨道2数据。这一恶意软件的目标是Visa卡,美国运通,发现卡,万事达和大来卡等信用卡,研究人员说道。
趋势科技警告道,那些被窃数据可被用来复制支付卡或进行欺骗性的网络交易,大多数潜在的受害者都分布在美国。
对于POS机恶意软件来说,利用正则表达式来识别支付卡信息确实不太寻常。但是专家们注意到这一恶意软件使用的表达式之前就在Rdaserv恶意软件库中出现过。趋势科技表示他们已经确认了Rdaserv和MalumPOS这两个恶意软件之间的许多相似之处,从而证明了这些威胁在某种程度上是有联系的。
为了能够伪装成英伟达图形驱动,恶意软件的开发者还利用了旧的时间戳(例如:1992-06-19 17:22:17)并对应用程序编程接口进行动态加载来骗过侦测。
虽然现在这一恶意程序看起来主要感染使用Micros公司平台的设备,但研究人员认为这一软件也有能力在其它平台系统上通过用户对互联网浏览器的访问窃取信息,如Oracle Forms,Shift4。
“MalumPOS生来就是可配置的。这就意味着在未来威胁的制造者可以改变或者增加其他的进程或目标。例如,他可以在MalumPOS的攻击目标上加上Radiant或者NCR Counterpoint的POS机系统。”趋势科技的威胁分析师Jay Yaneza在他的一篇博文中提到。
正在生成分享图...
陈致远