بدافزار کوچک ولی قدرتمند PinkKite پایانه‌های فروش را هدف قرار داده است

 

بدافزار جدیدی در حوزه ی پایانه های فروش کشف شده که اندازه ی آن بسیار کوچک بوده ولی بر روی سیستمی که آلوده شده می تواند عملیات زیادی انجام دهد. این بدافزار  PinkKite نام داشته و سال گذشته در پویش های گسترده ای مشاهده شده ولی جزئیات مربوط به این بدافزار هفته ی گذشته توسط آزمایشگاه امنیتی کسپرسکی منتشر شده است.


این بدافزار مشابه بدافزارهای دیگر حوزه‌ی پایانه‌های فروش مانند TinyPOS و AbaddonPOS اندازه‌ی بسیار کوچکی داشته و به دلیل این ماهیت کوچک، توسط نرم‌افزارهای امنیتی قابل شناسایی نیست. علاوه بر این، این بدافزار دارای قابلیت‌های استخراج داده از حافظه و اعتبارسنجی داده‌ها است.


بدافزار PinkKite از یک رمز دوگانه‌ی XOR برای رمزنگاری شماره کارت‌های اعتباری استفاده می‌کند. این بدافزار دارای قابلیت‌های ماندگاری در سیستم آلوده بوده و با استفاده از یک زیرساخت پشتی می‌تواند داده‌ها را از پایانه‌ی فروش خارج کرده و به سمت سرور دستور و کنترل ارسال کند. محققان اعلام کرده‌اند این سرورها در کره‌ی جنوبی، کانادا و هلند واقع شده‌اند.


در راستای توزیع این بدافزار، پس از آلوده شدن یک پایانه‌ی فروش، از ابزار مخرب PsExec برای گسترش آلودگی در شبکه‌ی سازمان مورد نظر استفاده می‌شود. در ادامه، نفوذگران از ابزار Mimikatz برای استخراج اطلاعات کارت‌های اعتباری استفاده می‌کنند. همچنین بدافزار می‌تواند با استفاده از RDP به سیستم آلوده متصل شده و اطلاعات آن را به سرقت ببرد.


فایل اجرایی بدافزار PinkKite مانند یک برنامه‌ی قانونی ویندوز عمل کرده و با نام‌هایی مانند Svchost.exe، Ctfmon.exe و AG.exe مشاهده شده است. نسخه‌های مختلفی از این بدافزار مشاهده شده که برخی از سیستم‌ها در فهرست سفید آن‌ها قرار داشته و آن‌ها را آلوده می‌کنند و برخی نیز در فهرست سیاه بوده و از آلوده کردن آن‌ها صرف‌نظر می‌شود. 


بدافزار PinkKite پس از اینکه شماره کارت‌های اعتباری را از حافظه‌ی دستگاه آلوده استخراج کرد، براساس الگوریتم Luhn آن‌ها را اعتبارسنجی می‌کند. در ادامه نیز از عملیات XOR استفاده کرده و ۱۶ رقم از ارقام کارت اعتباری را با کلیدهای از پیش مشخص‌شده رمز می‌کند و آن‌ها را به شکل فشرده ذخیره می‌کند به‌طوری که در هر فایل فشرده اطلاعات تقریبا ۷ هزار کارت اعتباری را می‌توان ذخیره کرد. در ادامه نیز بدافزار یک نشست جدید RDP ایجاد کرده و اطلاعات کارت‌های اعتباری را به سرورهای راه دور ارسال می‌کند.
 

منبع

پست‌های مشابه

Leave a Comment