概述
2013年,销售点(POS)恶意软件曾成为头条新闻,其引发的零售违规事件曝光了数百万张信用卡。POS恶意软件是专门设计来感染零售商、酒店、餐馆和其他地方的支付终端。传统上,POS恶意软件是从磁条读卡器或终端内存中提取信用卡和借记卡信息。尽管芯片和PIN技术的广泛应用,新的POS恶意软件已经出现,它们可以计算芯片卡的身份验证码,然后使用它们进行欺诈交易。
最近,随着Dridex和Ursnif等银行木马给企业带来麻烦,POS恶意软件的危险已经从人们的视野中消失,而2016年被大规模分发的勒索软件所主导锁定和CryptXXX。然而,新闻标题的变化并不意味着POS恶意软件已经消失。相反,POS恶意软件还很活跃,参与者经常瞄准多个垂直市场,试图捕获大量信用卡信息,在黑市上出售。在“黑色星期五”的促销活动中,感恩节周末表现出了特别高的活动水平,一些恶意软件家族用于从受感染终端中泄露数据的网络流量飙升了近400%。
通过所有这些,电子邮件已成为分发POS恶意软件到组织的重要向量,即使作为加载器或银行木制特洛伊木马的次要有效载荷,为网络POS系统提供了深入攻击的冰头。事实上,角色电子邮件在两者中播放早期POS恶意软件的分发现代活动代表了使用电子邮件作为攻击载体的更广泛趋势:在2013-2014年期间,POS恶意软件通常是通过点击电子邮件中的恶意链接而感染的结果;在2015-2016年期间,恶意文档附件分布了POS恶意软件和其他有效负载。
分析
POS恶意软件市场变化多端,不断发展,新工具不断出现,以提高零售安全,并添加功能,可能有用的攻击者渗透网络,支持零售和销售点操作。无论交付、安装或执行的机制如何,我们通常都可以通过我们运行的一系列网络传感器观察与命令控制(C&C)服务器的接触新兴威胁组。图1显示了2016年基于C&C流量和签到的POS恶意软件排行。
图1:Top POS恶意软件的索引量的网络活动
虽然图1显示了几种POS恶意软件的网络活动周期性波动,但Proofpoint的研究人员观察到,在感恩节周末,与ZeusPOS和NewPOSthings变体相关的数据泄露流量增加了3-4倍。虽然与黑色星期五相关的流量增加是意料之中的,但如图2和图3所示的峰值是戏剧性的。
图2:Zeuspos的感恩节2016年周末网络活动
图3:NewPOSthings的感恩节周末数据过滤活动
尽管美国感恩节前后网络活动的激增值得关注,但从今年年初以来的整体流量模式来看,情况也同样重要。我们观察到各种POS恶意软件家族之间有相当多的重叠,这表明存在共享基础设施的情况(图4)。
图4:网络图显示POS恶意软件家族的相对活动和连接
图4特别说明了这一点
- 和其他形式的恶意软件一样,POS恶意软件的活动倾向于集中在少数几个占主导地位的变体周围,即使是次要变体继续进行循环,并在机翼上等待成为“下一个大事件”。
- 主要变体通常与共享的基础设施或从一个变体转移到另一个变体有关,就像在银行木马和勒索软件领域发生的Dridex和Locky
- 通过观察C&C签到、感染方法等方面的相似性,建立这些关系可以帮助组织更好地抵御POS恶意软件。
在许多情况下,我们还可以将恶意电子邮件广告系列与初始尝试联系起来安装POS恶意软件。图5显示了在10月份定位零售垂直的恶意软件有效载荷的相对卷。请注意,删除锁定的ransomware后,其中占所有消息卷的90%,前两个有效载荷是加载程序:Pony和H1N1。值得注意的是我们第一次发现AbaddonPOS,一种广泛的POS恶意软件变种,由图5中排名第三的有效载荷Vawtrak传播。虽然这些并不是一定要删除POS恶意软件,但这张图表显示,攻击者有成熟的工具可供使用,以及零售联系人的数据库,通过这些工具,他们可以通过电子邮件攻击零售商,以攻击POS系统。
图5:10月份针对零售的有效负载的相对消息量,为了提高可见性,移除了Locky
通过对今年特定活动的仔细观察,我们可以进一步了解POS恶意软件的分布情况以及这个领域的变化情况。
个性化TinyLoader -> AbaddonPOS
“个性化的参与者”或TA530经常参与小型到中型的活动,包括使用个性化的电子邮件和诱饵来提高他们的效率。我们观察了这位演员在7月和10月针对大型零售商和杂货连锁店的活动。这些攻击涉及发送数千条消息AbaddonPOS通过TINYLOODER。攻击者使用具有引用特定商店位置的主题,附件名称和电子邮件主体中的收件人名称的个性化“客户端反馈”电子邮件(图6)。这会创建一个社会工程化的合法诱导,诱使用户打开附加的Word文档并启用宏。启用宏安装TinyLoader,又安装abaddonpos。
图6:个性化的客户反馈电子邮件诱饵,以社会设计的抱怨为特征——“我给你发邮件是为了提交我的反馈,关于我和我妻子在一家商店(店名和位置被修改)受到的糟糕对待……”
我们之前曾观察到TinyLoader导致了AbaddonPOS,但这些活动并不是个性化的。
JackPOS
JackPOS是一个POS恶意软件,试图从计算机内存中刮除信用卡详细信息(轨道1和轨道2)。4月,我们观察了具有数千个电子邮件的活动,其中包含链接到压缩ackpos恶意软件可执行文件的恶意URL。可执行文件托管在SecurePOS [。] CF上,该CF似乎是假页面和一个令人信服的前线假装上市ARP-IT防病毒,零售POS等产品。
图7:假冒网站声称出售AV、POS软件和其他工具,并托管POS恶意软件
项目钩
10月,我们观察了一款低批量电子邮件广告系列分发了“Project Hox”POS恶意软件。有趣的是,这项活动在SPAS高度上瞄准了SPA,具有与SPA管理软件的假更新的联系。单击电子邮件中的更新链接导致加载项目挂钩的压缩.vbs文件,导致图8中的“更新确认”。
图8:SPA管理软件的假更新确认
自2013年以来,野外观察了项目挂钩恶意软件,并继续在各种化身中进行回合。
二氧化钛- > ScanPOS
最近,我们观察了一个相对较大的广告系列,分配了克罗诺斯银行木匠木马的实例。该活动在垂直的酒店垂直方面非常有针对性,如图9所示。
图9:10月份Kronos -> ScanPOS活动中垂直目标的相对数量
一旦通过文档附件中的恶意宏或恶意文档的链接安装,Kronos下载了三个二级负载中的一个,包括一个新的POS恶意软件变体称为scanpos.。ScanPOS是一个相对简单的POS恶意软件,它扫描内存进程的信用卡号码,随后通过HTTP POST发送到C&C服务器。
这些活动提供了一个快照的当前POS恶意软件的景观和战术、技术和程序(TTPs),威胁行动者正在使用传递恶意软件给他们的目标。仔细观察这些活动可以发现一些共同的线索:
- 不断增加的个性化和针对性:无论参与者是通过个性化诱饵来提高效率,还是使用专门的虚假软件来追踪一个非常具体的垂直领域,电子邮件活动为攻击提供了丰富的基础
- 虚假软件、网站和电子邮件诱饵是复杂而引人注目的社会工程工具,远远超过了2013年和2014年对POS系统攻击的基本凭证钓鱼
- 攻击者正在使用各种各样的方法,从恶意文件附件到各种恶意加载程序,这些程序已被证明能够成功地利用银行木马和勒索软件来传递POS恶意负载。
针对零售商间接
不幸的是,对零售的威胁并不仅限于POS恶意软件。我们还观察到零售账户的网络钓鱼企图显著增加。最近的一种招数是为“秘密购物者”或在线评论付费,目标人群是高等教育机构的学生,他们可能愿意通过获得证书来获得快速、轻松的收入。
图10:澳大利亚一家连锁超市的虚假顾客满意度调查
在其他情况下,参与者使用进一步的证书钓鱼获取“大盒子”商店和其他零售商账户的登录信息,使他们能够进行欺诈交易。然而,无论采用何种方法或针对的特定零售商,最终承担与这些交易相关成本的还是零售商。虽然POS恶意软件可以网络威胁行为者潜在的巨大的发薪日,更高数量的证书网络钓鱼也可以是相当有利可图的,并威胁零售商的品牌,以及他们的底线——和毫无戒心的消费者的钱包。
结论
销售点恶意软件继续分发并以相对较高的卷运行。如果威胁演员可以捕获大量信用卡,这并不令人惊讶。即使由于支付行业为确保PCI合规性和移动筹码和PIN技术的更安全的信用卡交易,POS恶意软件也在不断发展这些新障碍。与此同时,威胁演员正在创新,以更有效地提供有效载荷,使他们的方法多样化,甚至使用零售品牌作为诱饵的简单凭据网络钓鱼。
订阅校正博客