圖片來源: 

pxhere

安全研究人員近日發現一隻終端機(PoS)的惡意程式,專門攻擊中小企業竊取信用卡資料,且至少已經流傳了4年之久。

安全廠商Flashpoint近日發現到一隻名為DMSniff的惡意程式已衍生出11隻變種,認為在此之前它可能最少從2016年就被大量用來攻擊餐廳、電影院等休閒娛樂業,但直到最近才被發現。

PoS攻擊程式並不是新東西。駭客經常用來攻擊餐飲、旅館及娛樂業的收銀終端系統,因為這些產業多半為中、小型企業,IT預算不豐,多數仍使用老舊及不被支援的系統,又有頻繁的信用卡交易,是駭客眼中的肥羊。

根據分析,DMSniff是藉由暴力破解SSH連線或掃瞄漏洞後加以開採而植入這些企業的PoS機器中。之後它會持續觀察PoS機的交易,發現「目標」即開始爬梳終端機的記憶體以尋找該筆資料的信用卡號。之後它會將這些資料連同周遭記憶體打包後傳送給外部C&C伺服器。此外,它還具有字串編碼(string-encoding)能力以躲避偵測。

安全研究人員還發現,DMSniff還會使用網域產生演算(domain generation algorithm, DGA_動態產生一系列C&C伺服器的網域。這項能力相當高明,如果C&C伺服器網域被警方、資安公司或ISP查獲時,這隻程式還是能傳送、接收指令或是分享它竊取的資料。研究人員認為,這是PoS惡意程式相當罕見的能力。

安全公司建議企業應定期更新安全防護,像是主機型惡意程式偵測產品等。


Advertisement

更多 iThome相關內容