據(jù)了解，安全研究專家目前正在對惡意軟件PunKeyPOS進(jìn)行監(jiān)控，而這一安全威脅可能已經(jīng)成功竊取了數(shù)以百萬計的支付卡號碼。

安全實驗室發(fā)現(xiàn)了一種名為“PunkeyPOS”的新型POS惡意軟件，目前已經(jīng)有多個網(wǎng)絡(luò)犯罪團(tuán)伙正在利用這一惡意軟件來進(jìn)行攻擊，而這一惡意軟件的運(yùn)行模式可能還涉及到了“惡意軟件即服務(wù)”的運(yùn)行機(jī)制。

安全研究專家將這一惡意軟件歸類為樂NewPOSthings惡意軟件家族的衍生版本，它的目的就是掃描一臺被感染的主機(jī)，并從中竊取支付卡數(shù)據(jù)。

2015年是惡意軟件PunkeyPOS的活動最為活躍的一年。安全專家在對多個組織所發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查分析時,發(fā)現(xiàn)了這一惡意軟件威脅。

安全研究專家對這一惡意軟件的代碼進(jìn)行了分析，并且發(fā)現(xiàn)其惡意代碼具備執(zhí)行偵察和攻擊的能力，其中還包括有一個專門用于竊取用戶數(shù)據(jù)的鍵盤記錄模塊。除此之外，在其功能方面，PunkeyPOS不僅實現(xiàn)了其他POS惡意軟件的常用功能，令安全專家們感到驚訝的是，它還具有遠(yuǎn)程更新和改變其功能的能力。

PunkeyPOS的通信數(shù)據(jù)使用了AES加密算法進(jìn)行加密處理，它能夠感染當(dāng)前所有運(yùn)行了Windows操作系統(tǒng)的設(shè)備。根據(jù)安全專家的描述，當(dāng)他們首次檢測到這一安全威脅時，它已經(jīng)成功感染了美國的多個組織，而且可能已經(jīng)竊取了數(shù)以百萬計的支付卡號碼。

著名的研究人員Brian Krebs已經(jīng)證實，到2016年4月上旬為止，PunkeyPOS變種已經(jīng)成功竊取了一百二十萬張支付卡的數(shù)據(jù)。

根據(jù)實驗室透露的信息，目前受到PunkeyPOS惡意軟件影響的用戶基本上都來自于美國地區(qū)，其他的用戶基本上都分散在歐洲，韓國和澳大利亞等地區(qū)。

PunkeyPOS的主要感染目標(biāo)是POS機(jī)的Windows資源管理器，并且隱藏在其中，掃描持卡人的數(shù)據(jù)，并記錄設(shè)備鍵盤的敲擊內(nèi)容，然后把記錄下來的數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器之中。它可以定期檢查服務(wù)器的更新數(shù)據(jù)，以查看是否有任何可獲取的更新。正如上文中提到的，PunkeyPOS惡意軟件也可以進(jìn)行鍵盤記錄，它一次可以捕獲200次鍵盤敲擊行為，并將記錄的內(nèi)容發(fā)送到遠(yuǎn)程服務(wù)器中。因此，攻擊者可以獲取到用戶名和密碼等重要信息。所有的這些功能都持續(xù)運(yùn)行，如果受害者重啟了受感染的pos機(jī)，PunkeyPOS同樣也會自動重新啟動。

研究人員指出，PunkeyPOS的注入和隱藏進(jìn)程比之前看到的大多數(shù)POS惡意軟件都要先進(jìn)。PunkeyPOS的命令和服務(wù)器之間的交互機(jī)制是此前從未見到過的，其中，執(zhí)行任意程序和進(jìn)行自我更新等功能通常不會出現(xiàn)在POS機(jī)惡意軟件當(dāng)中。

該惡意軟件會專門開啟一個線程,并利用該線程從C&C服務(wù)器中下載有效載荷，并能夠自動檢查更新。這一特點使得PunkeyPOS具有運(yùn)行其他工具的能力，例如運(yùn)行一些額外的偵察工具或進(jìn)行權(quán)限提升等操作。此外，PunkeyPOS還具有偵察和攻擊能力。而這些功能對其他POS惡意軟件來說則很少見。

下圖顯示的是PunkeyPOS的控制面板：

從圖中可以看到,該惡意軟件的管理員控制面板使用起來應(yīng)該會非常方便，攻擊者可以利用它來監(jiān)控受感染的設(shè)備狀態(tài)，并且更新駐留在設(shè)備中的惡意軟件。

安全研究專家認(rèn)為,這一惡意軟件主要通過類似釣魚郵件等匿名網(wǎng)絡(luò)活動來實現(xiàn)傳播。

實驗室總結(jié)出了以下結(jié)論:“考慮到這些信息在地下黑市中的售賣肯定會異常的火爆,而且通過網(wǎng)絡(luò)來感染這些POS機(jī)終端相對而言是比較容易實現(xiàn)的。所以我們可以肯定的是,網(wǎng)絡(luò)犯罪分子們的注意力肯定會被這些終端所吸引。”