بدافزار جدیدی در حوزه ی پایانه های فروش کشف شده که اندازه ی آن بسیار کوچک بوده ولی بر روی سیستمی که آلوده شده می تواند عملیات زیادی انجام دهد. این بدافزار PinkKite نام داشته و سال گذشته در پویش های گسترده ای مشاهده شده ولی جزئیات مربوط به این بدافزار هفته ی گذشته توسط آزمایشگاه امنیتی کسپرسکی منتشر شده است.
این بدافزار مشابه بدافزارهای دیگر حوزهی پایانههای فروش مانند TinyPOS و AbaddonPOS اندازهی بسیار کوچکی داشته و به دلیل این ماهیت کوچک، توسط نرمافزارهای امنیتی قابل شناسایی نیست. علاوه بر این، این بدافزار دارای قابلیتهای استخراج داده از حافظه و اعتبارسنجی دادهها است.
بدافزار PinkKite از یک رمز دوگانهی XOR برای رمزنگاری شماره کارتهای اعتباری استفاده میکند. این بدافزار دارای قابلیتهای ماندگاری در سیستم آلوده بوده و با استفاده از یک زیرساخت پشتی میتواند دادهها را از پایانهی فروش خارج کرده و به سمت سرور دستور و کنترل ارسال کند. محققان اعلام کردهاند این سرورها در کرهی جنوبی، کانادا و هلند واقع شدهاند.
در راستای توزیع این بدافزار، پس از آلوده شدن یک پایانهی فروش، از ابزار مخرب PsExec برای گسترش آلودگی در شبکهی سازمان مورد نظر استفاده میشود. در ادامه، نفوذگران از ابزار Mimikatz برای استخراج اطلاعات کارتهای اعتباری استفاده میکنند. همچنین بدافزار میتواند با استفاده از RDP به سیستم آلوده متصل شده و اطلاعات آن را به سرقت ببرد.
فایل اجرایی بدافزار PinkKite مانند یک برنامهی قانونی ویندوز عمل کرده و با نامهایی مانند Svchost.exe، Ctfmon.exe و AG.exe مشاهده شده است. نسخههای مختلفی از این بدافزار مشاهده شده که برخی از سیستمها در فهرست سفید آنها قرار داشته و آنها را آلوده میکنند و برخی نیز در فهرست سیاه بوده و از آلوده کردن آنها صرفنظر میشود.
بدافزار PinkKite پس از اینکه شماره کارتهای اعتباری را از حافظهی دستگاه آلوده استخراج کرد، براساس الگوریتم Luhn آنها را اعتبارسنجی میکند. در ادامه نیز از عملیات XOR استفاده کرده و ۱۶ رقم از ارقام کارت اعتباری را با کلیدهای از پیش مشخصشده رمز میکند و آنها را به شکل فشرده ذخیره میکند بهطوری که در هر فایل فشرده اطلاعات تقریبا ۷ هزار کارت اعتباری را میتوان ذخیره کرد. در ادامه نیز بدافزار یک نشست جدید RDP ایجاد کرده و اطلاعات کارتهای اعتباری را به سرورهای راه دور ارسال میکند.
منبع