کمیته رکن چهارم -محققان ترندمیکرو هشدار دادند بدافزار پایانهی فروش RawPOS که اطلاعات سامانه را از حافظهی RAM به سرقت میبرد، اینک به سرقت مجوز راهاندازها از روی دستگاه قربانی میپردازد. این بدافزار یکی از قدیمیها در حوزهی پایانه فروش است که فعالیت آن حداقل به سال ۲۰۰۸ میلادی برمیگردد. در طول زمان، نویسندگان این بدافزار بهطور عمده صنعت بیمارستان را هدف حملات خود قرار میدادند.
به گزارش کمیته رکن چهارم،محققان هشدار دادند این بدافزار اطلاعات بیشتری را از سامانهی قربانیان جمعآوری میکند تا آنها را بیشتر از قبل در معرض حملات سرقت هویت قرار دهند. مهاجمان میتوانند مجوزهای راهاندازها را که از سامانهی قربانی به سرقت میبرند در فعالیتهای مخرب خود مورد استفاده قرار دهند.
محققان ترندمیکرو میگویند بدافزار RawPOS میتواند دادههای مربوط به کارتهای اعتباری و هر اطلاعات ارزشمند دیگری را از سامانهی آلوده به سرقت ببرد. بدافزار برای ردیابی دادهها تمامی پردازههای در حال اجرا را پویش میکند تا به اطلاعات داخل حافظه دست یابد. در ادامه نیز حافظهی مربوط به آن پردازه را رونویسی کرده و اطلاعات مورد نظر خود را استخراج میکند.
این بدافزار در ۸ سال اول فعالیت خود از الگوریتم انطباق الگوی یکسانی استفاده میکرد ولی مثل اینکه در سال ۲۰۱۶ میلادی این الگوریتم را تغییر داده تا بتواند به راهاندازها و مجوزهای آنها نیز دسترسی پیدا کند. به دلیل اینکه در مجوزهای کشور آمریکا عدد ۶۳۶ در ابتدای شمارههای شناسایی وجود دارد، مهاجمان به کشف این مجوزها بسیار علاقهمند هستند.
در این حملات مهاجمان علاوه بر اطلاعات کارت اعتباری، به اطلاعات شخصی افراد نیز دسترسی دارند و به سادگی میتوانند هویت طرف مقابل را جعل کنند و هرچند که به کارت اعتباری فیزیکی دسترسی ندارند ولی میتوانند بهطور برخط یک معامله را از طرف خود انجام دهند. محققان میگویند با پویش و سرقت اطلاعات موجود بر روی بارکد مجوزها، مهاجمان میتوانند عملیاتی مانند سرقت هویت را انجام دهند.
منبع:security week
