ModPOS - طروادة للبيع

مرحبًا بكم في قرائنا على صفحات مدونة iCover ! كما تعلمون ، فإن حجم المبيعات التي يتم إجراؤها في أيام الأسهم الكبيرة الحجم من قبل تجار التجزئة يتزايد بأوامر ضخمة. وفي هذه الأيام بالتحديد ، يتمتع القراصنة بفرصة كبيرة لاختبار أنواع واعدة من الأسلحة السيبرانية التي تم إنشاؤها لإعادة التوزيع النشط للتدفقات النقدية في معظم الظروف "الميدانية". هذه البرامج الضارة على وجه التحديد - ModPOS Trojan الجديد ، أو بالأحرى أحدث إصدار تم حبسه المبتكر لتجار التجزئة في الولايات المتحدة وأوروبا الشرقية ، والذي أخبرته مجموعة من محللي الفيروسات iSight Partners . وهذا الوحش ، أيها القراء الأعزاء ، يستحق أن نتعلم عنه "مقدما".



كما خمنت على الأرجح من اسم Trojan ، فإن الغرض من ModPOS هو محطات نقاط البيع ، أو بالأحرى ، محطات البيع بالتجزئة الكبيرة. هذا حصان طروادة له تاريخه الفريد. لفترة طويلة ، كان ModPOS يختبئ من أي مضادات فيروسات موجودة وكان نشطًا ، بشكل أساسي خلال فترات المبيعات.

نسب

أول حالات الإصابة بمرض ModPOS المبكر ، كما أظهرت الدراسة ، حدثت في عام 2012. وقد جذبت بعض أجزاء البرامج الضارة انتباه المحللين الفيروسيين منذ عام 2013. في الوقت نفسه ، تمكنت ModPOS من الضياع بين مئات الآلاف وعشرات الملايين من عينات برامج التجسس التي تتم معالجتها بواسطة شبكات مكافحة الفيروسات تلقائيًا. في الوقت نفسه ، كانت المشكلات المتعلقة بتحديد ModPOS في جهاز ظاهري معقدة بسبب الأساليب المعقدة لمواجهة تصحيح الأخطاء والتعتيم على التعليمات البرمجية.

لاستعادة شفرة المصدر ، ودراستها بالتفصيل والحصول على فكرة عن الهيكل العام لـ ModPOS ووظائف أقسامه الفردية ، اضطر محللو الفيروسات إلى القيام بكمية لا تصدق من العمليات اليدوية.



ماراثون 4 سنوات. modpos - تاريخ من المواجهة (توضيح: شركاء isight).

وفقًا لماريا نوبوا ، محللة iSight ، "تستغرق البرامج الهندسية العكسية عادةً حوالي عشرين دقيقة. في حالة ModPOS ، استغرق منا حوالي ثلاثة أسابيع فقط لتأكيد طبيعتها الخبيثة. نفس الوقت الذي استعدنا فيه هيكله وحاولنا فهم آليات العمل. هذا هو أصعب تهديد واجهناه على الإطلاق ".

أظهر مؤلفو تطوير ModPOS كفاءة استثنائية. وتقول الدراسة إن قطعة واحدة فقط من كود الصدفة تحتوي على أكثر من ستمئة وظيفة. تميز حصان طروادة ، وفقًا لمحللي مجموعة فك التشفير ، بأعلى وظائفه ونمطيته مع التركيز بشكل خاص على التعتيم على الكود ، والاكتساح المعقد لآثار العمل ، واستخدام الأساليب غير القياسية لإخفاء النشاط الحالي والاسترداد المضمون في حالة إزالة مكوناته الفردية.

"يمكننا أن نقول أن هذه ليست طروادة منفصلة ، بل إطار عمل واسع النطاق - منصة معقدة تتضمن العديد من الوحدات والمكونات الإضافية. معا ، يسمحون للمهاجمين بجمع معلومات شاملة عن الشركة المستهدفة ، بما في ذلك جميع المعلومات حول المدفوعات مباشرة من أنظمة المبيعات وبيانات الاعتماد الشخصية للمديرين. ”يشارك نوبوا انطباعاته.

ModPOS هو امتداد نوعي جديد في شريحة سرقة البيانات من البطاقات المصرفية ، حيث يتم تنفيذ الجزء الأكبر من المعاملات الاحتيالية تقليديًا ويستمر تنفيذها باستخدام الكاشطات (التراكبات على لوحة مفاتيح أجهزة الصراف الآلي جنبًا إلى جنب مع كاميرا مصغرة) أو الوميض (الكاشطات الرقيقة جدًا المدمجة مباشرة في قارئ البطاقات) . يمكن لـ ModPOS Trojan التحول مع مراعاة الميزات الفريدة للنظام المحدد الذي يصيبه. هذا يجعل من الممكن ألا تكون تجزئات وحداتها هي نفسها ، وكذلك التوقيعات التي تم إنشاؤها تلقائيًا. لمدة ثلاث سنوات على الأقل ، تمكن من التحايل ليس فقط على إمكانات الماسحات الضوئية المميزة ، ولكن أيضًا المحللون الإرشاديون ، بالإضافة إلى أدوات التحليل السلوكي ، حيث عمل ModPOS على أدنى مستوى.



خوارزمية عمل modpos (توضيح: شركاء isight).

بصفتها مجموعة خفية على مستوى النواة ، تقدم ModPOS برامج التشغيل الخاصة بها التي يمكنها اعتراض وظائف النظام واستخدام التشفير لمواجهة محاولات تحليل الشفرة وإخفاء أفعالها الحقيقية. من بين وحدات ModPOS ، تم اكتشاف الشم ، و keylogger ، ومحمل للمكونات الجديدة.

استنتج المحللون من مجموعة iSIGHT الذين درسوا ModPOS أن استخدام المعيار الدولي لمعاملات البطاقات المصرفية (EMV) كوسيلة للحماية ضد حصان طروادة غير فعال. ModPOS لديه القدرة على نسخ البيانات مباشرة من محطات الدفع وذاكرة الوصول العشوائي. علاوة على ذلك ، فإن البرامج الضارة قادرة على محاكاة المعاملات بالفعل بعد حذف البطاقة. فقط أنظمة الدفع تلك التي توفر تشفيرًا شاملاً من السلسلة من المحطة الطرفية إلى مركز معالجة الدفع لديها حصانة كافية لـ ModPOS. في أيدي المحتالين وحقيقة أنه في العديد من الأماكن لا تزال محطات الطراز القديم مثبتة ، والتي تعمل في وضع التوافق. متجاهلين الشريحة ، قرأوا البيانات من الشريط المغناطيسي للبطاقة بالطريقة القديمة ، كما كان الحال في كل مكان قبل دمج EMV.

إن تحليل كود ModPOS من قبل خبراء iSIGHT ، في رأيهم ، يؤدي إلى فكرة أن التطوير كان يركز في المقام الأول على أنظمة الدفع لأنظمة البيع بالتجزئة الأمريكية. في الوقت نفسه ، تم تحديد الفرق أيضًا للتفاعل مع عقد الشبكة التي تقع عناوين IP الخاصة بها في أوروبا الشرقية.

سمح تحليل المعلومات الواردة وفك تشفير كود ModPOS لشركاء iSIGHT بتجميع قاعدة لأنظمة الدفع ، والتي أصبحت ، مع درجة عالية من الاحتمال ، ضحايا بالفعل للبرامج الضارة. تم إخطار أصحابها بالفعل. يتعاون فريق الخبراء بنشاط مع مركز R-CISC لمكافحة التهديدات السيبرانية على أمل أن تسرع الجهود المشتركة بشكل كبير من اكتشاف وتحييد ModPOS.

مصادر ofcomputerra.ru ، isightpartners.com.

---

أعزائي القراء ، يسعدنا دائمًا أن نلتقي وننتظرك على صفحات مدونتنا. نحن على استعداد لمواصلة مشاركة أحدث الأخبار ومقالات المراجعة والمنشورات الأخرى معك وسنحاول أن نبذل قصارى جهدنا لجعل الوقت الذي تقضيه معنا مفيدًا لك. وبالطبع لا تنسى الاشتراك في أقسامنا .

مقالاتنا وأحداثنا الأخرى

• نحن نعتبر أن الرائد غير الرائد - Meizu M2 Note
• Xiaomi Power Bank 16000 أو Xiaomi Power Bank 5000؟ نظرة عامة على المنتج
• خصم رائع على أجهزة استقبال AV الممتازة
• مشغل Astell & Kern AK380 بسماعات الرأس مجانًا!

Source: https://habr.com/ru/post/ar387283/