趨勢科技近日發現了一個新的pos機病毒MalumPOS,目前該病毒鎖定的是基于MICROS平臺的POS系統,但它的配置非常靈活,黑客只要重新配置就能用來攻擊任何POS系統。

MICROS是一家專門制造與銷售POS軟/硬件系統的公司,主要客戶為酒店與零售業,根據甲骨文公司提供的數據來看,超過33萬的Micros系統被部署在各個公司中,這些公司遍布全球180多個國家和地區,絕大多數位于美國。2014年6月MICROS被甲骨文以53億美元并購。
MalumPoS屬于POS存儲體擷取程序,可于受到感染的系統存儲體中讀取信用卡信息,每次刷過信用卡磁條時,它便會竊取持卡人姓名及卡號等信息,可用來制作偽卡或在網絡上盜刷。
MalumPOS這一惡意軟件通過許多方式進行傳播,其中包括偽裝成Nvidia顯示驅動來感染其他設備。一旦其感染了一個POS機設備,設備的威脅監控就會運行程序搜索設備內存中記錄的有價值的銀行卡信息。為了能夠偽裝成Nvidia圖形驅動,惡意軟件的開發者還利用了舊的時間戳(例如:1992-06-19 17:22:17)并對應用程序編程接口進行動態加載來騙過偵測。那些被搜索到的信用卡信息將會被重新編碼并存儲在一個叫“nvsvc.dll”的文件中,這樣看起來就更像是合法的Nvidia驅動中普通的一部分。
趨勢科技威脅分析師Jay Yaneza表示,一旦黑客成功部署MalumPoS,它將讓大量美國知名企業及其客戶身陷安全風險。此外,MalumPoS目前的功能是用來搜集基于MICROS的PoS系統上的資料,但它的配置非常靈活,黑客可以修改攻擊程序或目標,例如讓MalumPoS也可攻擊Radiant或NCR的POS系統。
MalumPOS是使用Delphi語言進行編寫的,而且它使用正則表達式來搜尋信用卡密碼和其他有價值的數據。不同的正則表達式則被用來識別軌道1和軌道2數據。MalumPoS病毒鎖定的系統除了MICROS外還有Oracle Forms與Shift4信用卡付款通道,而且它所竊取的卡片是有選擇性的,偏好Visa、MasterCard、American Express、Discover及Diner"s Club等信用卡。
對于POS機惡意軟件來說,利用正則表達式來識別支付卡信息確實不太尋常。是專家們注意到這一惡意軟件使用的表達式之前就在Rdaserv惡意軟件庫中出現過。趨勢科技表示他們已經確認了Rdaserv和MalumPOS這兩個惡意軟件之間的許多相似之處,從而證明了這些威脅在某種程度上是有聯系的。
“MalumPOS生來就是可配置的。這就意味著在未來威脅的制造者可以改變或者增加其他的進程或目標。例如,他可以在MalumPOS的攻擊目標上加上Radiant或者NCR Counterpoint的POS機系統。”趨勢科技的威脅分析師Jay Yaneza在他的一篇博文中提到。
也就是說,雖然現在這一惡意程序看起來主要感染使用Micros公司平臺的設備,但它也有能力在其它平臺系統上通過用戶對互聯網瀏覽器的訪問竊取信息,如Oracle Forms,Shift4。