圖片來源: 

維基共享資源;作者:U.S. Navy photo by Rick Naystatt

美國國土安全部旗下的電腦緊急事件回應小組(CERT)發佈報告指出,一隻名為Backoff的惡意程式侵入新式收銀終端機上的遠端桌面應用,以竊取消費者的信用卡等資訊,外傳可能有600家大小零售業者受害,其中可能不乏去年遭駭的公司。

這項報告是由CERT連同美國國家網路安全與傳播政策整合中心下的金融資訊共享與分析中心(FS-ISAC)及第三方業者Trustwave Spiderlabs共同發佈。報告指出,駭客利用市面上可公開取得的工具找到使用遠端服務,像是Microsoft Remote Desktop 、Apple Remote Desktop、Google的Chrome Remote Desktop或是Splashtop 2、Pulseway等產品,然後利用暴力破解法破解密碼,並登入終端機。等進入系統,取得管理員權限後,就植入名為Backoff的惡意程式,最後取得消費者支付資料,再以加密方式將資料傳送回攻擊者伺服器。

Backoff是新辨識出來的惡意程式,可能涉入至少三項PoS資料外洩調查案。研究人員指出,一般防毒程式對這隻惡意程式的變種偵測率由0到極低,意謂著即使更新防毒引擎也很難發現其存在。

Backoff在內的PoS惡意程式家族,研究人員現已發現三隻主要變種,包括1.4, 1.55 (backoff, goo, MAY, ne)及1.56 (LAST),最早可追溯到2013年10月。這類惡意程式共同特徵包括會蒐集記憶體的支付資料、側錄鍵盤動作、執行指令與控制通訊(command & control , C2)將資料上傳到主機伺服器,以及更新、執行或反安裝惡意程式,並以注射惡意程式碼到explorer.exe中,造成檔案總管當掉或停止時間拉長。

報告指出,Backoff家族惡意程式的手法與年初發現的全球性入侵POS遠端桌面協定(RDP)的僵屍網路活動很類似,而根據研究,以暴力破解RDP服務的攻擊事件也有逐漸升高的趨勢。

雖然報告沒有指出Backoff攻擊的受害業者,而媒體引述的數目也是眾說紛紜。福斯新聞指出有600家業者。紐約時報則表示約10多家,包括Target、中國餐廳P. F. Chang's、百貨公司Neiman Marcus、工藝美術品連鎖Michaels、Sally Beauty Supply及負責物品回收再利用的非營利機構Goodwill Industries International。

媒體所列的這些業者,和去年那一波的POS攻擊資料外洩事件顯然有許多重覆的,例如最有名的Target、另還有P. F. ChangsNeiman Marcus、Michales及Sally Beauty Supply都曾在去年底到今年初遭遇收銀機資料被入侵導致客戶簽帳卡或其他個人資料外洩。其中Target被竊取1.1億筆消費者資料,也是史上最嚴重的資料外洩案。(編譯/林妍溱)


Advertisement

更多 iThome相關內容