Pratite nas preko RSS-aBot mreža BrutPOS napada slabo zaštićene POS sisteme
Vesti, 10.07.2014, 08:42 AM
Hiljade kompromitovanih računara pokušavaju da provale u POS (point-of-sale) sisteme koristeći brute-force tehnike da bi došli do kredencijala za daljinsko administriranje.
Kompromitovani računari deo su bot mreže koju su istraživači kompanije FireEye nazvali BrutPOS i za koju se veruje da je aktivna od februara ove godine, a možda i ranije.
Bot mreža skenira IP adrese koje određuju operateri bot mreže u potrazi za Remote Desktop Protocol servisom.
Kada identifikuje RDP servis, malver BrutPOS pokušava da se prijavi sa korisničkim imenima i lozinkama sa liste koju ima.
“Neka korisnička imena i lozinke ukazuju da napadači traže određene marke POS sistema kao što je Micros”, kažu iz kompanije FireEye.
Ako malver BrutPOS uspešno pogodi kredencijale za daljinski pristup sistemu, on šalje povratne informacije komandno-kontrolnom serveru (C&C). Napadači tada koriste ove informacije da bi ustanovili da li je sistem POS terminal, i ako jeste, onda instaliraju maliciozni program dizajniran da izvlači informacije o platnim kraticama iz memorije aplikacija na POS terminalima.
Takva vrsta malicioznog programa poznata je pod nazivom RAM scarper, i u poslednjih godinu dana se sve češće koristi u napadima na POS sisteme.
Istraživači iz firme IntelCrawler takođe su pratili malver BrutPOS, za koji u ovoj firmi veruju da se pojavio u sajber podzemlju u maju ove godine kao projekat nazvan @-Brt. Prema mišljenju stručnjaka iz IntelCrawlera, malver ne cilja samo na RDP, već i na druge protokole za daljinsku administraciju kao što su VNC i PCAnywhere.
FireEye je identifikovao pet C&C servera malvera BrutPOS, od kojih su dva još uvek online. Ta dva servera nalaze se u Rusiji, dok su ostali locirani u Iranu i Nemačkoj.
Podaci prikupljeni sa ovih servera ukazuju da bot mreža ima 5622 kompromitovana računara iz 119 zemalja. Istraživači su identifikovali 60 kompromitovanih sistema, verovatno POS terminala, od koji se 51 nalazi u SAD.
"Najčešće korisničko ime bilo je “adminstrator” (36) a najčešća lozinka “pos” (12) i “Password” (12)”, kažu u FireEye.
Prema podacima IntelCrawlera, druge najčešće lozinke korišćene na kompromitovanim sistemima su aloha12345, micros, pos12345, posadmin i javapos.
Iako nema dovoljno informacija da bi se utvrdilo odakle je došao malver BrutPOS, postoje indicije da su napadači najverovatnije iz istočne Evrope, i to iz Rusije ili Ukrajine.
Izdvojeno
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Pratite nas
Nagrade
Prijatelji
