據(jù)了解，安全研究專家目前正在對(duì)惡意軟件PunKeyPOS進(jìn)行監(jiān)控，而這一安全威脅可能已經(jīng)成功竊取了數(shù)以百萬(wàn)計(jì)的支付卡號(hào)碼。

安全實(shí)驗(yàn)室發(fā)現(xiàn)了一種名為“PunkeyPOS”的新型POS惡意軟件，目前已經(jīng)有多個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙正在利用這一惡意軟件來(lái)進(jìn)行攻擊，而這一惡意軟件的運(yùn)行模式可能還涉及到了“惡意軟件即服務(wù)”的運(yùn)行機(jī)制。

安全研究專家將這一惡意軟件歸類為樂(lè)NewPOSthings惡意軟件家族的衍生版本，它的目的就是掃描一臺(tái)被感染的主機(jī)，并從中竊取支付卡數(shù)據(jù)。

2015年是惡意軟件PunkeyPOS的活動(dòng)最為活躍的一年。安全專家在對(duì)多個(gè)組織所發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查分析時(shí),發(fā)現(xiàn)了這一惡意軟件威脅。

安全研究專家對(duì)這一惡意軟件的代碼進(jìn)行了分析，并且發(fā)現(xiàn)其惡意代碼具備執(zhí)行偵察和攻擊的能力，其中還包括有一個(gè)專門用于竊取用戶數(shù)據(jù)的鍵盤記錄模塊。除此之外，在其功能方面，PunkeyPOS不僅實(shí)現(xiàn)了其他POS惡意軟件的常用功能，令安全專家們感到驚訝的是，它還具有遠(yuǎn)程更新和改變其功能的能力。

PunkeyPOS的通信數(shù)據(jù)使用了AES加密算法進(jìn)行加密處理，它能夠感染當(dāng)前所有運(yùn)行了Windows操作系統(tǒng)的設(shè)備。根據(jù)安全專家的描述，當(dāng)他們首次檢測(cè)到這一安全威脅時(shí)，它已經(jīng)成功感染了美國(guó)的多個(gè)組織，而且可能已經(jīng)竊取了數(shù)以百萬(wàn)計(jì)的支付卡號(hào)碼。

著名的研究人員Brian Krebs已經(jīng)證實(shí)，到2016年4月上旬為止，PunkeyPOS變種已經(jīng)成功竊取了一百二十萬(wàn)張支付卡的數(shù)據(jù)。

根據(jù)實(shí)驗(yàn)室透露的信息，目前受到PunkeyPOS惡意軟件影響的用戶基本上都來(lái)自于美國(guó)地區(qū)，其他的用戶基本上都分散在歐洲，韓國(guó)和澳大利亞等地區(qū)。

PunkeyPOS的主要感染目標(biāo)是POS機(jī)的Windows資源管理器，并且隱藏在其中，掃描持卡人的數(shù)據(jù)，并記錄設(shè)備鍵盤的敲擊內(nèi)容，然后把記錄下來(lái)的數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器之中。它可以定期檢查服務(wù)器的更新數(shù)據(jù)，以查看是否有任何可獲取的更新。正如上文中提到的，PunkeyPOS惡意軟件也可以進(jìn)行鍵盤記錄，它一次可以捕獲200次鍵盤敲擊行為，并將記錄的內(nèi)容發(fā)送到遠(yuǎn)程服務(wù)器中。因此，攻擊者可以獲取到用戶名和密碼等重要信息。所有的這些功能都持續(xù)運(yùn)行，如果受害者重啟了受感染的pos機(jī)，PunkeyPOS同樣也會(huì)自動(dòng)重新啟動(dòng)。

研究人員指出，PunkeyPOS的注入和隱藏進(jìn)程比之前看到的大多數(shù)POS惡意軟件都要先進(jìn)。PunkeyPOS的命令和服務(wù)器之間的交互機(jī)制是此前從未見到過(guò)的，其中，執(zhí)行任意程序和進(jìn)行自我更新等功能通常不會(huì)出現(xiàn)在POS機(jī)惡意軟件當(dāng)中。

該惡意軟件會(huì)專門開啟一個(gè)線程,并利用該線程從C&C服務(wù)器中下載有效載荷，并能夠自動(dòng)檢查更新。這一特點(diǎn)使得PunkeyPOS具有運(yùn)行其他工具的能力，例如運(yùn)行一些額外的偵察工具或進(jìn)行權(quán)限提升等操作。此外，PunkeyPOS還具有偵察和攻擊能力。而這些功能對(duì)其他POS惡意軟件來(lái)說(shuō)則很少見。

下圖顯示的是PunkeyPOS的控制面板：

從圖中可以看到,該惡意軟件的管理員控制面板使用起來(lái)應(yīng)該會(huì)非常方便，攻擊者可以利用它來(lái)監(jiān)控受感染的設(shè)備狀態(tài)，并且更新駐留在設(shè)備中的惡意軟件。

安全研究專家認(rèn)為,這一惡意軟件主要通過(guò)類似釣魚郵件等匿名網(wǎng)絡(luò)活動(dòng)來(lái)實(shí)現(xiàn)傳播。

實(shí)驗(yàn)室總結(jié)出了以下結(jié)論:“考慮到這些信息在地下黑市中的售賣肯定會(huì)異常的火爆,而且通過(guò)網(wǎng)絡(luò)來(lái)感染這些POS機(jī)終端相對(duì)而言是比較容易實(shí)現(xiàn)的。所以我們可以肯定的是,網(wǎng)絡(luò)犯罪分子們的注意力肯定會(huì)被這些終端所吸引。”