POS Malware

Point-of-prodeje (POS) systémy jsou důležité součásti v jakémkoliv maloobchodním prostředí. Poté, co se vyvinul za jednoduchých registračních pokladen, moderní POS systém je vázána na zpracování plateb, zásob a řízení business jeho vztahů se zákazníky (CRM) funkcí. Inovace ve vývoji POS software také dělal to jednodušší pro malé a středně velké podniky nasadit rys-bohatý POS nástroje ve svých maloobchodních prostředí. Na podporu těchto zvýšených požadavků, vývojáři POS systému jsou pomocí běžných vývojových prostředí, jako je například Microsoft Windows. Existují odhady, že až 76% z pokladních systémů jsou spuštěny nějakou verzi systému Microsoft Windows.

Pokladní systémy byly také oblíbeným cílem pro zločince kvůli jejich roli při zpracování finančních transakcí. Malé podniky, které nemají vyhrazené zabezpečení informací zdroje, které pomohou zabezpečit jejich maloobchodní prostředí jsou vystaveni zvýšenému riziku. Tyto podniky mohou postrádat robustní ochranné mechanismy k zajištění bezpečnosti svých zařízení POS. Navíc, malé a střední podniky obvykle mají omezené zdroje a spoléhají na počítačích hostování systému POS poskytovat další funkce, včetně e-mailu a prohlížení webových stránek. Podniky, které zpracovávají údaje platební karty musí odpovídat Payment Card Industry (PCI), předpisy k zajištění bezpečnosti držitele karty dat. Nicméně povinnost chránit údaje zákazníků přesahuje shody s předpisy, jak obchodníci odpovědné za odcizení dat karta může být předmětem pokut, zavinění za finanční ztráty, ztráta důvěry zákazníků, a negativní dopad na jejich značce.

Důvody

Dell SecureWorks Counter Threat Unit (TM) (CTU) Výzkumníci uvádějí několik faktorů, které přispěly k nárůstu zájmu o malware je používána při cíleném pokladní systémy.

Zvýšená rozmanitost prodejce POS

POS systémy se staly snadno dostupné pro malé a středně velké podniky, nasadit, aniž by se spoléhat na integrátora třetí strany nebo s přidanou hodnotou (VAR), prodejce, který se specializuje na realizaci POS řešení pro maloobchodní prostředí. Tato přístupnost poskytuje zvýšenou krajinu POS zařízení využívajících komerčně dostupných operačních systémů, jako je Microsoft Windows, které jsou již životaschopné platformy pro malware. Navíc tyto POS zařízení mohou být zřízeny v nejistých podmínkách, které nejsou kompatibilní PCI nebo jsou vystaveni zvýšenému riziku, i když je splněna shoda.

Zvýšená poptávka pro předplacené karty

Kreditní karty jsou historicky populární cíle pro zločince. Zejména, karty, které spoléhají na statické ověřování a nepoužívají Europay, MasterCard, Visa a (EMV), standard pro ověřování transakcí, které byly ceněné pro jejich schopnost být padělané. Zločinci pak použijte tyto karty k nákupu zboží on-line, nebo k výběru hotovosti ze systémů ATM.

A předplacené funkce debetní karty stejně jako normální debetní karty, ale je naloženo s hotovostí, místo bytí vázána na bankovní účet. Předplacené debetní karty mohou být buď non-dobíjecí nebo dobíjecí. Non-dobíjecí karta má definovanou hodnotu (např, $ 50), který se aktivuje při nákupu. Jakmile jsou finanční prostředky vyčerpány, karta už není užitečná. Může dobíjecí předplacené karty mají i nadále finanční prostředky přidal k tomu. Většina reloadable předplacené karty mohou být financovány prostřednictvím přímého vkladu a může mít hotovosti z bankomatů.

Výzkumníci ČVUT pozorovali zvýšenou pozornost v on-line bankovnictví podvody a účtu převzetí cílení s vysokou přidanou hodnotou bankovní účty patřící podnikům, neziskovým organizacím, a místní samosprávy. Zločinci používají malware, jako je Zeus, GameOver Bugát a Citadela převzít účty a pak poslat peníze z účtu prostřednictvím plateb přes Automated Clearing House (ACH), síti nebo přes převody do jiných bankovních účtů. Vzhledem k tomu, reloadable předplacené karty mohou být financovány přímými vkladů, mohou zločinci posílat peníze z obětovaného účtu financovat řadu padělané předplacené karty. Tyto karty pak mohou být konvertovány na hotovosti prostřednictvím bankomatu nebo nákupu dárkových karet, zboží a služeb. Tento proces poskytuje zločince s více možnostmi pro proplacení ven obětí účet.

Trestní poptávky na trhu

Trestní podzemí funguje velmi podobně jako legitimní ekonomiky. Tam jsou požadavky na zboží a služby, které umožňují příležitosti pro prodejce poskytovat produkty k uspokojení této poptávky. Zvýšená poptávka po odcizených předplacené kreditní karty se pravděpodobně přispěla ke zvýšené poptávce po malware cílení pokladních systémů.

Malware

Hodně z aktuální vlny malware cílení pokladních systémů používá stejné základní komponenty, krade, že zločinci použili v minulosti. Malware se snaží ukrást data ve formátu trati 1 nebo Track 2, který je uložen na kreditní karty magnetickým proužkem. Zločinci mohou pak re-kódovat data skladeb do padělaných karet. Malware, který se zaměřuje datovou stopu využívá Potřeba tohoto data mají být uloženy v paměti běžící program v dešifrovaném stavu, aby došlo k povolení transakce.

Dexter

Dexter Trojský kůň byl zveřejňují od Seculert v prosinci 2012. Dexter se pokusí skenovat paměti dalších procesů hledají stopy 1 nebo Track 2 formátovaných dat. Dexter využívá HTTP komunikovat s velení a kontrolu (C2) serveru exfiltrate ukradených dat karty a přijímat aktualizace. Dexter zahrnuje administrační panel pro listování na infikovaných počítačů, podobně jako u ovládacích panelů našel s bankovními trojských koní (viz obrázek 1).

Obrázek 1. Dexter trojan admin panel. (Zdroj: Seculert)

Obrázek 1. Dexter trojan admin panel. (Zdroj: Seculert)

Dell SecureWorks nebyl pozorován žádné události spouštěcí protiopatření pro Dexter trojan v rámci své zákaznické základny.

vSkimmer

vSkimmer byla zveřejněna od společnosti McAfee března 2013. Kromě informací o malware, McAfee zahrnuty údaje ze zprávy na webové fórum používaného zločinci inzerovat zboží a služeb. vSkimmer také hledá programovou paměť pro datovou stopu; Nicméně, vypadá to pouze pro formát odpovídající údaje Track 2. Obrázek 2 ukazuje regulární výraz používaný k hledání Skladba 2 formátovaný dat.

Obrázek 2. vSkimmer regulární výraz pro odpovídající Track 2 naformátován data. (Zdroj: Dell SecureWorks)

Obrázek 2. vSkimmer regulární výraz pro odpovídající Track 2 naformátován data. (Zdroj: Dell SecureWorks)

Kromě použití protokolu HTTP exfiltrate ukradených dat na C2 serveru, vSkimmer lze nakonfigurovat tak, aby kopírovat data do konkrétního USB zařízení, pokud se nemůže připojit k Internetu. vSkimmer skládky svá odcizených dat do souboru protokolu na USB disk s určitým název svazku. Na verzi vSkimmer stavitele nástroje získané výzkumného týmu ČVUT základě, název svazku a název souboru protokolu lze nakonfigurovat pomocí nástroje používaného ke konfiguraci a vytvářet vlastní verze malwaru. Tato možnost poskytuje útočníkovi s alternativní mechanismus pro vykládání ukradených dat z POS zařízení, které není dovoleno komunikovat přímo k Internetu.

Obrázek 3. vSkimmer trojan stavitel. (Zdroj: Dell SecureWorks)

Obrázek 3. vSkimmer trojan stavitel. (Zdroj: Dell SecureWorks)

Dell SecureWorks nebyl pozorován žádné události spouštěcí protiopatření pro vSkimmer trojan v rámci své zákaznické základny.

BlackPOS

BlackPOS, který je údajně prodáván pod názvem "dump paměti Grabber od Ree," byla zveřejněna veřejně rusko-založené bezpečnostní firmy Group-IB na konci března 2013. Nástroj byl inzerován na oblíbené webové fórum pro cybercriminal zboží a služeb , BlackPOS skenuje paměti běžící procesy pro uložené Track 1 Track 2 a formátovaných dat. Pokud nalezen, data jsou uložena v výstupní soubor nazvaný výstup.txt a je nahrán na server pomocí FTP.

Dell SecureWorks nebyl pozorován žádné události spouštěcí protiopatření pro BlackPOS trojan v rámci své zákaznické základny.

Alina

Alina Trojan byl objeven výzkumným týmem ČVUT března 2013. Stejně jako předchozí tři POS-cílení malware, Alina prohledává běžící procesy pro datovou stopu kreditní karty.

Obrázek 4. Alina trojské regulární výrazy pro Track 1 Track 2 a dat. (Zdroj: Dell SecureWorks)

Obrázek 4. Alina trojské regulární výrazy pro Track 1 Track 2 a dat. (Zdroj: Dell SecureWorks)

Alina využívá HTTP nahrát informace o infikovaném počítači a odcizených dat karty do své C2 serveru. Alina můžete také stáhnout a spustit aktualizace.

Krátce po jeho objevu, výzkumný tým ČVUT zaveden protiopatření k detekci Alina trojan aktivitu. Infekce byly zjištěny ve třech odběratelských sítí v průběhu období jednoho týdne. Od března 2013 se zjištěna žádná aktivita.

Obrázek 5. Alina trojan IDS činnost. (Zdroj: Dell SecureWorks)

Obrázek 5. Alina trojan IDS činnost. (Zdroj: Dell SecureWorks)

Citadela

Citadela trojan je dobře známo, crimeware kit, který se používá k cílit bankovních a kreditních karet údaje za účelem spáchání podvodu. Kromě své schopnosti špehovat prohlížení webu aktivity uživatele, Citadel má několik dalších funkcí, které dělají to cenné útočníka pro identifikaci a ohrožení potenciálních POS zařízení.

Systém průzkum

Citadel může být nakonfigurován pro spuštění určitých příkazy zadané v konfiguračním souboru při každém spuštění. Jak je znázorněno na obrázku 6, Citadela může být nakonfigurován pro shromažďování informací o infikovaného hostitele a sítí.

Obrázek 6. Ukázka seznam Citadel úkol. (Zdroj: Dell SecureWorks)

Obrázek 6. Ukázka seznam Citadel úkol. (Zdroj: Dell SecureWorks)

Software průzkum

Citadel Trojan může také shromažďovat informace o softwaru instalovaného v infikovaném počítači. Provozovatel botnet může použít tyto informace shromažďovat informace o účelu infikovaného počítače a případně informace o dalších počítačích v síti.

Obrázek 7. Citadel nainstalován statistiky softwaru. (Zdroj: Malware Nemusíte káva)

Obrázek 7. Citadel nainstalován statistiky softwaru. (Zdroj: Malware Nemusíte káva)

Stáhnout a spustit programy

Citadel umožňuje operátor botnet poslat příkaz k infikovaných počítačů stáhnout program z URL a spustit jej na infikovaném počítači. Tato instrukce je označován jako příkaz "user_execute". To může být poslán na celý botnet, do jednoho infikovaného počítače, nebo jen do počítačů umístěných v konkrétní zemi.

Keylogger

Citadel může být nakonfigurován tak, aby zaznamenávat všechny stisky kláves zadali v rámci cílených procesy po určitou dobu. Tato akce může poskytnout útočníkovi s citlivých informací, jako jsou pověření účtu pro uživatele POS software a data účtu, který je ručně zadaných.

Screenshoty a zachytávání videa

Citadel je možné nakonfigurovat tak, aby se screenshoty, když uživatel přejde na konkrétní adresu URL, nebo dokonce nahrávat video z akce uživatele. Tato schopnost umožňuje útočníkům shromažďovat zpravodajské informace o tom, jak webová aplikace funguje. Útočníci pak můžete použít tento inteligenci k řemeslu jejich útoku nástroje využívat že konkrétní platformu.

Citadel kampaně

Výzkumný tým ČVUT je vědom dvou Citadel botnetů, které byly konkrétně zaměřených na POS zařízení.

e-trust botnet

Výzkumný tým ČVUT odkazuje na toto Citadel botnetu jako "e-důvěry" botnetu kvůli jeho použití "e-důvěry" řetězec v několika jmen C2 domény. Kromě toho, řetězec "POS" byl rovněž použit několikrát v doménových jmen.

8 znázorňuje část dat konfigurace, která byla uložena ve vzorku pevnosti. Tato konfigurace data zahrnují adresy URL vzorku požádat o další konfigurační údaje a název, botnet, který je určený botnet regulátorem. Název botnet se používá pro útočníky, kteří chtějí nastavit více botnet oddílů pod jediným C2 infrastruktury. Více oddílů jsou často používány při zločinecké skupiny s více pobočkami používají stejnou infrastrukturu, nebo když jediná skupina, která provozuje několik kampaní se zaměřením na různé druhy informací nebo geografických oblastí.

Obrázek 8. e-důvěřovat konfigurační data Citadel vzorku. (Zdroj: Dell SecureWorks)

Obrázek 8. e-důvěřovat konfigurační data Citadel vzorku. (Zdroj: Dell SecureWorks)

E-důvěra botnet Předpokládá se, že použití více mechanismy k cílových dat skladbu na POS zařízení:

Virtuální POS aplikace, které předloží surová data sledovat v transakcích HTTP Target web-based. Dokonce i když jsou prováděny tyto webové transakce mezi interními systémy, Citadel mohou zachytit data.
Pomocí funkce user_execute nainstalovat specializovaný paměti rozebrat malware.
Keylogger botnet

Výzkumníci ČVUT pozorovali druhý Citadel botnet cílování POS zařízení. Tento botnet využívá kláves schopnost protokolování Citadely zaměřit procesy, které jsou spojeny s POS software a vzdálený přístup a správu nástrojů. Výzkumníci ČVUT podezření, Citadel Keylogger botnet se zaměřovaly na následující aplikace:

* Obchod *
* pos *
* Termín *
* Prodej *
* Morris *
* Obchodník *
* Mira *
* Gotomy *
* Pcany *
* Aloha *
* Zadní kancelář *
* Moneris *
* LogMeIn *
* G2view *
* Obchod *
* Restaurace *
* Bar *
* Káva *
* Caffe *
* Kavárna *
* Zadní kancelář *
Vzhledem k tomu, datovou stopu nemůže být zachyceny pomocí keylogger, útočníci mohou být pokouší získat pověření uživatele na čísla POS software nebo kreditních karet, které byly ručně zadaných. Ten scénář pravděpodobně zaměřen na podniky, které zpracovávají platby kreditní kartou po telefonu. Navíc, tento botnet byl nakonfigurován tak, aby monitorovat provoz patřící do webové virtuálního POS aplikace provozované Moneris. V tomto případě, útočník se může pokoušet získat obchodnické pověření pro systémové a karetních dat. Útočník by mohl použít tuto informaci k vytvoření falešné transakce s oslabeným pověření a později iniciovat refundaci na padělanou kartou.

Citadel / Alina spojení

Výzkumný tým ČVUT používá svůj Threat Management System Intelligence (TIMS) korelovat aktivitu napříč více datových sad, včetně zákazníků telemetrii a dat hrozby ze strany malwaru systémy analýzy. Po objevení Alina trojan, výzkumníci ČVUT hledal své úložiště malware najít starší verze malware a zpracovávat je prostřednictvím systémů ČVUT analýzy extrahovat data indikátorů. Analýza těchto starších vzorků odhalila adresu IP (84.22.106.94), která byla použita pro Alina C2. Tento stejný IP adresa byla také spuštěna IDS protiopatření, které byly v souladu s Zeus nebo Citadel činnosti u zákazníků společnosti Dell SecureWorks. Navíc, tato IP adresa byla spojena s konkrétními názvy domén ví, že byly používány v dřívějších instancí Citadel Keylogger botnet. Toto spojení znamená, že útočníci za keylogger botnet byly případně pomocí Citadela distribuovat Alina Trojan na systémy ukrást datovou stopu.

Doporučení

Organizace zpracování transakcí kartami musí splňovat bezpečnostní požadavky specifikované Payment Card Industry Data Security Standards (PCI DSS) k ochraně dat karet v místě prodeje. Tyto normy poskytují pevný rámec pro obchodníky k ochraně dat držitelů karet. Dodržování norem představuje zabezpečení organizace je v určitém okamžiku v čase. Bohužel, bezpečnostní kontroly občas selhat. Následující doporučení, prováděné jako součást celkové strategie shody PCI, pomůže omezit zranitelnost POS zařízení pro malware a zmírnit ztrátu dat z jakýchkoli úspěšných infekcí.

Provádět politiky výtok sítě

V PCI DSS v2.0, požadavek 1 uvádí, "Instalovat a udržovat konfiguraci firewallu k ochraně dat držitelů karet." Tento požadavek definuje standard mají segmentovaný síť, kde platební systémy žít v sítích s přísnější kontroly přístupu. Zejména, POS zařízení, která používají IP sítě pro komunikaci by měl mít ovládací prvky sítě, které jim brání v komunikaci s nedůvěryhodné sítě. Komunikace na všechny počítače by měl být zamítnut ve výchozím nastavení, pokud není stanoveno jinak pro obchodní účely. Toto nastavení pomůže zabránit malware, který se může dostat nainstalována na POS zařízení od používání síťových protokolů k exfiltrate ukradených dat karty. Nicméně, toto nastavení nezastaví útoky, kde se údaje exfiltrace provádí přes fyzikálním způsobem nebo přes síť prostřednictvím jiných schválených systémů.

Použití detekce narušení sítě

Podle požadavku 11 PCI DSS v2.0, "Pravidelně testovat bezpečnostní systémy a procesy." Systémy detekce narušení sítě (IDS) mohou identifikovat podezřelý provoz, který může znamenat kompromis POS zařízení nebo systémy, které zpracovávají údaje karty. Tyto podpisy mohou vypadat pro síťový provoz specifické pro určité malware rodin, nebo mohou hledat vzory dat, které mohou naznačovat krádežím dat, jako je například číslo kreditní karty nebo nezpracovaných dat trati.

Použít aplikace Whitelisting

Aplikace Whitelisting je proces, kterým se stanoví zásady a ovládací prvky, aby pouze určité sadu schválených žádostí spustit na počítači. Aplikace mohou být omezen prostřednictvím schopností poskytovaných operačním systémem. Příklady pro systém Microsoft Windows patří AppLocker pro Windows 7 a Windows Server 2008 R2 a Zásady omezení softwaru pro starší verze systému Windows. Aplikace Whitelisting lze také provést pomocí specializovaných nástrojů třetích stran. Aplikace Whitelisting implementace mají pověst obtížné udržet ve standardních podnikových prostředích vzhledem k velkému počtu aplikací a aktualizací, které je třeba podporovat. Nicméně, POS zařízení jsou ideální platformy pro aplikace whitelisting, protože oni jsou speciální výpočetní zařízení, které pouze potřebují spustit malou sadu aplikací.

Aplikace Whitelisting není výslovně uvedeno ve specifikaci PCI DSS 2.0. Nicméně, Požadavek 5 specifikuje "Použití a pravidelně aktualizovat antivirový software nebo programy." Aplikace Whitelisting řešení mohou být volbou pro primární nebo zušlechtěné kontrol ke splnění tohoto požadavku.

Omezte používání POS zařízení

Protože mnoho POS zařízení spustit verze operačního systému Windows, by tyto prostředky proměnit víceúčelové zařízení. Zejména na zdroje stísněné malé a střední podniky mohou mít POS zařízení, které se používá také k číst e-maily a surfovat na webu. Tyto doplňkové aktivity umístěte počítač na větší riziko infekce malware. Maloobchodní prostředí by mělo zajistit, že POS zařízení nemůže procházet Internet. Malé podniky by měly investovat do vyhrazeném počítači nebo tabletu poskytovat prohlížení webových stránek a e-mailové funkce.

Použijte point-to-point šifrovací zařízení

Point-to-point šifrování (P2PE) řešení poskytují možnost přijímat platby na zařízení, které šifruje data na zařízení (například karta přejeďte terminálu) pro přenos na třetí-party pro zpracování. Autentizační data karty nikdy umístěn na POS zařízení, takže nemůže být ukradené. Z maloobchodního hlediska, toto nastavení posune mnoho bezpečnostních požadavků na ochranu dat zákaznickou kartu na procesoru třetí strany. Nicméně, obchodníci jsou stále odpovědní za PCI DSS shodě, jak oni potřebují, aby fyzicky zvládnout platební karty a zajištění integrity fyzických P2PE zařízení. Tento typ řešení může být atraktivní pro menší obchodníky s několika výkladů a pokladních.

Vyšetřovat platebních technologií příští generace

Populární v Evropě, platební technologie příští generace, jako EMV standardech založené platebních karet (také známý jako Chip a PIN) a Near Field Communications (NFC) na bázi platební zařízení, se začínají objevovat ve Spojených státech. Tyto technologie snižují potřebu statických autentizačních údajů, jako jsou údaje dráhy, autorizaci transakce. Je to mnohem těžší pro zločince padělaných legitimní platební karty za účelem podvodu. Technologie, jako je Chip a PIN nemají vyloučit možnost podvodu, ale snižují riziko čelí obchodníci.

Přezkum ukazatelů hrozeb

Organizace by měly hledat jejich prostředí pro ukazatele hrozeb v tabulce 1. Tyto ukazatele hrozeb mohou naznačovat přítomnost malwaru zaměření POS zařízení.

INDIKÁTOR TYP KONTEXT
d72bce2ccd44eb96f3e76a420ea5c246 MD5 hash souboru Citadel spustitelný
b12d775df2c6af43180bc115b57efe0d MD5 hash souboru Citadel spustitelný
b9f4294601adbb613ab089e536ad04f6 MD5 hash souboru Citadel spustitelný
ea8cbc2b839cea72bae436313291d42c MD5 hash souboru Citadel spustitelný
c8e5728b05c3ac46212c33535b65f183 MD5 hash souboru Citadel spustitelný
82ec7b37a138d99cd68d9dcf64a29117 MD5 hash souboru Citadel spustitelný
ea8cbc2b839cea72bae436313291d42c MD5 hash souboru Citadel spustitelný
88d7eddf873383f7d2d5b9ecb5a74187 MD5 hash souboru Citadel spustitelný
ultimaresources. com Doménové jméno Citadel C2 serveru
ultimaresource. com Doménové jméno Citadel C2 serveru
e-trustwildlevel. com Doménové jméno Citadel C2 serveru
wildresource. info Doménové jméno Citadel C2 serveru
newposlevel. námi Doménové jméno Citadel C2 serveru
e-trustposlevel. námi Doménové jméno Citadel C2 serveru
trustposlevel. com Doménové jméno Citadel C2 serveru
white-teeth2012. org Doménové jméno Citadel C2 serveru
airtravelers. org Doménové jméno Citadel C2 serveru
lovelypictures. org Doménové jméno Citadel C2 serveru
sport-modely. org Doménové jméno Citadel C2 serveru
hotels2013. org Doménové jméno Citadel C2 serveru
tiskařské kanceláře. com Doménové jméno Citadel C2 serveru
VoIP kanceláře. v. ua Doménové jméno Citadel C2 serveru
real-life2013. v. ua Doménové jméno Citadel C2 serveru
computershop2013. org Doménové jméno Citadel C2 serveru
paristours2013. org Doménové jméno Citadel C2 serveru
yamaha-motor2013. com Doménové jméno Citadel C2 serveru
RealLife-příběhy. com Doménové jméno Citadel C2 serveru
real-life-hroty. com Doménové jméno Citadel C2 serveru
213.57.77.220 IP adresa Citadel C2 serveru
91.243.115.83 IP adresa Citadel C2 serveru
91.243.115.86 IP adresa Citadel C2 serveru
166.78.144.80 IP adresa Citadel C2 serveru
46.165.200.115 IP adresa Citadel C2 serveru
62.109.25.228 IP adresa Citadel C2 serveru
64.13.192.163 IP adresa Citadel C2 serveru
68.68.28.103 IP adresa Citadel C2 serveru
85.17.122.230 IP adresa Citadel C2 serveru
2fd2073dcc197e0b5da425d663a6c5cd MD5 hash souboru Alina spustitelný
8b82d07d41bec878fb10f7ae616226f4 MD5 hash souboru Alina spustitelný
99a307128daa407147d1c69d2824d703 MD5 hash souboru Alina spustitelný
37493eb319d126d0ab8f5a55da85563d MD5 hash souboru Alina spustitelný
1efeb85c8ec2c07dc0517ccca7e8d743 MD5 hash souboru Alina spustitelný
2c2cfa4a685bb56a1cbb5979f13e6ab2 MD5 hash souboru Alina spustitelný
2139e613dc20df19daa6d90a0ff05591 MD5 hash souboru Alina spustitelný
0de9765c9c40c2c2f372bf92e0ce7b68 MD5 hash souboru Alina spustitelný
8e9e0a0fcd8df9da2980a260cd309a1e MD5 hash souboru Alina spustitelný
208.98.63.226 IP adresa Alina C2 serveru
0ca4f93a848cf01348336a8c6ff22daf MD5 hash souboru BlackPOS spustitelný
f45dcb05203909c6093f8dee0f223069 MD5 hash souboru BlackPOS spustitelný
05e9e87f102ea12bce0563f91783dc3 MD5 hash souboru BlackPOS spustitelný
109.234.159.254 IP adresa BlackPOS údaje exfiltrace serveru
31.170.164.227 IP adresa BlackPOS údaje exfiltrace serveru
ftp. jedna láska. 16MB com Doménové jméno BlackPOS údaje exfiltrace serveru
03fe4ec93b5ea4f00ac693cbec92c0dc MD5 hash souboru vSkimmer spustitelný
b93001b162f63902d0c42e2494dfcd25 MD5 hash souboru vSkimmer spustitelný
65577db601ca9be40ad91fc25fa08937 MD5 hash souboru vSkimmer spustitelný
c42f45197ace43beed3e2d21faa4f3cc MD5 hash souboru vSkimmer spustitelný
dae375687c520e06cb159887a37141bf MD5 hash souboru vSkimmer spustitelný
www. posterminalworld. la Doménové jméno vSkimmer C2 serveru
www. adssa-org. 1 gigabajt ru Doménové jméno vSkimmer C2 serveru
cepperofthelight. p .ht Doménové jméno vSkimmer C2 serveru
www. Mellat. info Doménové jméno vSkimmer C2 serveru
btodata. netto Doménové jméno vSkimmer C2 serveru
5.9.175.150 IP adresa vSkimmer C2 serveru
81.177.174.13 IP adresa vSkimmer C2 serveru
31.170.164.60 IP adresa vSkimmer C2 serveru
31.31.196.44 IP adresa vSkimmer C2 serveru
70feec581cd97454a74a0d7c1d3183d1 MD5 hash souboru Dexter spustitelný
f84599376e35dbe1b33945b64e1ec6ab MD5 hash souboru Dexter spustitelný
ed783ccea631bde958ac64185ca6e6b6 MD5 hash souboru Dexter spustitelný
2d48e927cdf97413523e315ed00c90ab MD5 hash souboru Dexter spustitelný
11e2540739d7fbea1ab8f9aa7a107648. com Doménové jméno Dexter C2 serveru
67b3dba8bc6778101892eb77249db32e. com Doménové jméno Dexter C2 serveru
7186343a80c6fa32811804d23765cda4. com Doménové jméno Dexter C2 serveru
815ad1c058df1b7ba9c0998e2aa8a7b4. com Doménové jméno Dexter C2 serveru
e7bc2d0fceee1bdfd691a80c783173b4. com Doménové jméno Dexter C2 serveru
e7dce8e4671f8f03a040d08bb08ec07a. com Doménové jméno Dexter C2 serveru
fabcaa97871555b68aa095335975e613. com Doménové jméno Dexter C2 serveru
67b3dba8bc6778101892eb77249db32e. com Doménové jméno Dexter C2 serveru
173.255.196.136 IP adresa Dexter C2 serveru
50.116.41.199 IP adresa Dexter C2 serveru
193.107.19.165 IP adresa Dexter C2 serveru
Tabulka 1. Ukazatele ohrožení malware cílení POS zařízení.

Závěr

Počítačová kriminalita se stále vyvíjí v souvislosti s technickým a právním úkonům. Pachatelé jsou nyní využití platební mechanismy, jako je například předplacené karty, s cílem zefektivnit jejich plány. Tento přístup zároveň umožňuje další zločinci použít magnetický řetězec autentizační systémy založené provádět osvědčenou a pravdivé útoky proti pokladních systémů. Vědci se domnívají, že ČVUT POS zařízení bude i nadále atraktivní cíl, se zločinci rozvíjet nové malware a změně použití stávajících škodlivého softwaru krást data karty. Organizace, které zpracovávají údaje karty potřebují pokračovat ve sledování hrozeb a přizpůsobit své ovládací prvky pro ochranu dat karty nad rámec požadavků PCI.