據了解，安全研究專家目前正在對惡意軟件PunKeyPOS進行監控，而這一安全威脅可能已經成功竊取了數以百萬計的支付卡號碼。

安全實驗室發現了一種名為“PunkeyPOS”的新型POS惡意軟件，目前已經有多個網絡犯罪團伙正在利用這一惡意軟件來進行攻擊，而這一惡意軟件的運行模式可能還涉及到了“惡意軟件即服務”的運行機制。

安全研究專家將這一惡意軟件歸類為樂NewPOSthings惡意軟件家族的衍生版本，它的目的就是掃描一臺被感染的主機，并從中竊取支付卡數據。

2015年是惡意軟件PunkeyPOS的活動最為活躍的一年。安全專家在對多個組織所發生的網絡安全事件進行調查分析時,發現了這一惡意軟件威脅。

安全研究專家對這一惡意軟件的代碼進行了分析，并且發現其惡意代碼具備執行偵察和攻擊的能力，其中還包括有一個專門用于竊取用戶數據的鍵盤記錄模塊。除此之外，在其功能方面，PunkeyPOS不僅實現了其他POS惡意軟件的常用功能，令安全專家們感到驚訝的是，它還具有遠程更新和改變其功能的能力。

PunkeyPOS的通信數據使用了AES加密算法進行加密處理，它能夠感染當前所有運行了Windows操作系統的設備。根據安全專家的描述，當他們首次檢測到這一安全威脅時，它已經成功感染了美國的多個組織，而且可能已經竊取了數以百萬計的支付卡號碼。

著名的研究人員Brian Krebs已經證實，到2016年4月上旬為止，PunkeyPOS變種已經成功竊取了一百二十萬張支付卡的數據。

根據實驗室透露的信息，目前受到PunkeyPOS惡意軟件影響的用戶基本上都來自于美國地區，其他的用戶基本上都分散在歐洲，韓國和澳大利亞等地區。

PunkeyPOS的主要感染目標是POS機的Windows資源管理器，并且隱藏在其中，掃描持卡人的數據，并記錄設備鍵盤的敲擊內容，然后把記錄下來的數據發送到遠程服務器之中。它可以定期檢查服務器的更新數據，以查看是否有任何可獲取的更新。正如上文中提到的，PunkeyPOS惡意軟件也可以進行鍵盤記錄，它一次可以捕獲200次鍵盤敲擊行為，并將記錄的內容發送到遠程服務器中。因此，攻擊者可以獲取到用戶名和密碼等重要信息。所有的這些功能都持續運行，如果受害者重啟了受感染的pos機，PunkeyPOS同樣也會自動重新啟動。

研究人員指出，PunkeyPOS的注入和隱藏進程比之前看到的大多數POS惡意軟件都要先進。PunkeyPOS的命令和服務器之間的交互機制是此前從未見到過的，其中，執行任意程序和進行自我更新等功能通常不會出現在POS機惡意軟件當中。

該惡意軟件會專門開啟一個線程,并利用該線程從C&C服務器中下載有效載荷，并能夠自動檢查更新。這一特點使得PunkeyPOS具有運行其他工具的能力，例如運行一些額外的偵察工具或進行權限提升等操作。此外，PunkeyPOS還具有偵察和攻擊能力。而這些功能對其他POS惡意軟件來說則很少見。

下圖顯示的是PunkeyPOS的控制面板：

從圖中可以看到,該惡意軟件的管理員控制面板使用起來應該會非常方便，攻擊者可以利用它來監控受感染的設備狀態，并且更新駐留在設備中的惡意軟件。

安全研究專家認為,這一惡意軟件主要通過類似釣魚郵件等匿名網絡活動來實現傳播。

實驗室總結出了以下結論:“考慮到這些信息在地下黑市中的售賣肯定會異常的火爆,而且通過網絡來感染這些POS機終端相對而言是比較容易實現的。所以我們可以肯定的是,網絡犯罪分子們的注意力肯定會被這些終端所吸引。”