Thứ bảy, 15/10/2016 - 06:19

Xuất hiện phần mềm độc hại đánh cắp dữ liệu máy POS

Dân trí

Trong báo cáo mới nhất từ Trend Micro, hãng đã phát hiện ra bản cập nhật FastPOS mới lạm dụng cơ chế của Windows Mailslots để trộm cắp dữ liệu máy POS (Point of Sale - thiết bị bán hàng).

best-point-of-sale-system-1476464478182

Phần mềm độc hại FastPOS đang tấn công máy POS

Theo nghiên cứu, phần mềm độc hại này có khả năng lây nhiễm máy tính Windows cả 32-bit và 64-bit. FastPOS sử dụng hai module chính (bộ nhớ scrapper và keylogger), và đã thay đổi cách hoạt động ở mức độ hệ điều hành.

Đáng chú ý, báo cáo chỉ ra rằng các phiên bản FastPOS trước đây vận hành từ một quy trình khép kín, trong khi ở các phiên bản mới cập nhật này các module chính và phụ, hoạt động trên khắp các quá trình điều hành khác nhau, làm cho chúng khó bị loại bỏ.

Trong thực tế, Trend Micro cho biết việc phát hiện các liên kết HTTP mà qua đó các phần mềm độc hại ăn cắp dữ liệu thẻ tín dụng từ máy tính là khá dễ dàng vì dữ liệu không được mã hóa.

Nhưng sự thay đổi nổi bật nhất trong phiên bản mới này là FastPOS lưu trữ dữ liệu thu thập được trước khi gửi nó đến máy chủ C & C của nó. Cũng giống như các phiên bản vừa qua, phần mềm độc hại lưu tất cả dữ liệu trong bộ nhớ của máy tính (RAM) để tránh tạo ra các tập tin địa phương. Điều này đã và đang là một tính năng kế hoạch vì phần mềm độc hại không bao giờ có ý định giữ thông tin bị đánh cắp quá lâu.

Điều này có nghĩa là phiên bản gần đây đã lạm dụng một cơ chế của Windows được gọi là Mailslots, một dạng tập tin tạm thời chỉ cư trú trong bộ nhớ RAM của máy tính, được sử dụng để lưu trữ thông tin liên lạc liên quá trình (IPC).

Phân tích các phần mềm độc hại cho thấy, chủng phần mềm độc hại POS mới đang tập trung vào tốc độ nhanh và hoạt động lén lút, một cách tiếp cận phổ biến của nhiều phần mềm độc hại trên thị trường hiện nay.

Ngoài ra, một phần mềm độc hại POS khác gọi là LogPOS cũng lạm dụng Mailslots để ăn cắp dữ liệu mà nó thu thập từ các phần mềm POS. Cửa sổ Mailslots phù hợp hoàn hảo với chế độ mặc định FastPOS hoạt động, đặc biệt có thể rò rỉ dữ liệu ngay khi người dùng nhấn phím Enter trên bàn phím hoặc cà thẻ thông qua một thiết bị điểm cuối POS.

Nhóm nghiên cứu Trend Micro khuyến cáo: “FastPOS đang không ngừng cập nhật và phát triển để nhắm mục tiêu các doanh nghiệp có hệ thống an ninh mạng tương đối thấp, vì vậy các tổ chức cần thắt chặt vấn đề bảo mật an ninh mạng, sử dụng phần mềm bảo mật để phát hiện và ngăn chặn mọi phần mềm độc hại.”

Phan Tuấn