安全研究人员近日发现一只终端机(PoS)的恶意程序,专门攻击中小企业窃取信用卡数据,且至少已经流传了4年之久。
安全厂商Flashpoint近日发现到一只名为DMSniff的恶意程序已衍生出11只变种,认为在此之前它可能最少从2016年就被大量用来攻击餐厅、电影院等休闲娱乐业,但直到最近才被发现。
PoS攻击程序并不是新东西。黑客经常用来攻击餐饮、旅馆及娱乐业的收银终端系统,因为这些产业多半为中、小型企业,IT预算不丰,多数仍使用老旧及不被支持的系统,又有频繁的信用卡交易,是黑客眼中的肥羊。
根据分析,DMSniff是借由暴力破解SSH链接或扫瞄漏洞后加以开采而植入这些企业的PoS机器中。之后它会持续观察PoS机的交易,发现“目标”即开始爬梳终端机的内存以寻找该笔数据的信用卡号。之后它会将这些数据连同周边内存打包后发送给外部C&C服务器。此外,它还具有字符串编码(string-encoding)能力以躲避侦测。
安全研究人员还发现,DMSniff还会使用域名产生演算(domain generation algorithm, DGA_动态产生一系列C&C服务器的域名。这项能力相当高明,如果C&C服务器域名被警方、安全公司或ISP查获时,这只程序还是能发送、接收指令或是分享它窃取的数据。研究人员认为,这是PoS恶意程序相当罕见的能力。
安全公司建议企业应定期更新安全防护,像是主机型恶意程序侦测产品等。