انتشار شده در تاریخ 1394/01/29 - 09:58

پایانه‌‌های فروش هدف جدید بدافزار پانکی

پایانه‌های فروش (POS) امروزه به یک هدف جذاب برای هکرها تبدیل‌شده‌اند، به طوری که در این چند سال اخیر بخش اعظمی از فعالیت‌ هکرها بر روی نفوذ به سامانه‌های فروش بوده است.

نحوه کار بدافزار پانکی (Punkey) به این صورت است که پس از نفوذ و گذر از سامانه‌های کنترلی در پایانه‌های فروش، مستقیم به سراغ حافظه رم می‌رود و اطلاعات کارت‌های پرداختی را از این حافظه استخراج می‌کند تا در اولین فرصت پس از دریافت اطلاعات آن را در اختیار مرکز فرماندهی خود (C&C) قرار دهد و فرمانده (نفوذگر) نیز به سرعت از کارت قربانی سوءاستفاده می‌کند.

طبق آخرین گزارش‌های منتشرشده از این بدافزار توسط محققان امنیتی شرکت سیسکو (Cisco)، مشخص شد تاکنون بسیاری از پایانه‌های فروش در رستوران‌ها کافه‌ها و هتل‌های آمریکا به این بدافزار یا آلوده‌شده‌اند و یا در معرض آلودگی قرار دارند به طوری که تعداد دستگاه‌های آلوده در حال افزایش است.

محققان امنیت شرکت TrustWave نیز پس از اعلام سیسکو هشدار دادند که طبق بررسی‌های انجام‌شده و با کمک یکی از سرویس‌های مخفی آمریکا متوجه شده‌ایم که این بدافزار همان پانکی (Punkey) است که پس از تغییراتی اکنون دوباره به فضای اینترنت واردشده است، ولی این بار پایانه‌های فروش و حافظه‌های رم این سامانه‌ها را مورد هدف قرار داده است.

Punkey اکنون در دو نسخه 32 و 64 بیتی بر پایانه‌های مبتنی بر ویندوز قابلیت نفوذ دارد به‌گونه‌ای که پس از ورود قابلیت این را دارد که تمامی ورودی‌ها را ثبت کند تا پس از استخراج این ورودی‌ها و ارسال آن برای سازنده خود به او این اجازه را بدهد تا با استفاده از اطلاعات کارت هرگونه فعالیت جابه‌جایی و یا خرید را انجام دهد.

این بدافزار نحوه عملکردش در میان نفوذکننده‌ها به سامانه‌های پرداختی منحصربه‌فرد است و قادر است فایل اجرایی خود را به نام Explorer.exe به ویندوز معرفی ‌کند و در پوشه نصبی خود فایلی با نام DLLX64.DLL را همراه ‌کند که وظیفه این فایل ثبت ورودی‌ها است. این بدافزار رمزگذاری شده پس از ورود این قابلیت را برای خود ایجاد می‌کند که پس از نصب به راحتی بتواند در هر زمان که نیاز باشد فایل‌های خود را به روزرسانی کند، پانکی همچنین قابلیت دریافت خودکار ابزارهای مخرب و اضافی را دارد.

شرکت امنیتی TrustWave معتقد است، با استفاده از نرم‌افزاری که تولید کرده است قادر به رمزگشایی پانکی هست و می‌تواند ترافیک داده‌ها را در زمان فعالیت پانکی رصد کرده و به صاحب پایانه گزارش دهد و این روش موجب شناسایی این بدافزار بر روی پایانه‌ فروش می‌شود.

لازم به ذکر است بسیاری از ضررهایی که به افراد در طول این سه سال اخیر واردشده است از طریق حملات به حافظه رم سامانه‌های فروش و سوءاستفاده از این اطلاعات بوده است و در سال جاری برزیل با بیش از یک‌صد حمله مشابه در صدر کشورهایی بوده است که توسط این نوع حملات و بدافزار‌ها موردتهاجم قرارگرفته است.