Pratite nas preko RSS-aBot mreža BrutPOS napada slabo zaštićene POS sisteme
Vesti, 10.07.2014, 08:42 AM
Hiljade kompromitovanih računara pokušavaju da provale u POS (point-of-sale) sisteme koristeći brute-force tehnike da bi došli do kredencijala za daljinsko administriranje.
Kompromitovani računari deo su bot mreže koju su istraživači kompanije FireEye nazvali BrutPOS i za koju se veruje da je aktivna od februara ove godine, a možda i ranije.
Bot mreža skenira IP adrese koje određuju operateri bot mreže u potrazi za Remote Desktop Protocol servisom.
Kada identifikuje RDP servis, malver BrutPOS pokušava da se prijavi sa korisničkim imenima i lozinkama sa liste koju ima.
“Neka korisnička imena i lozinke ukazuju da napadači traže određene marke POS sistema kao što je Micros”, kažu iz kompanije FireEye.
Ako malver BrutPOS uspešno pogodi kredencijale za daljinski pristup sistemu, on šalje povratne informacije komandno-kontrolnom serveru (C&C). Napadači tada koriste ove informacije da bi ustanovili da li je sistem POS terminal, i ako jeste, onda instaliraju maliciozni program dizajniran da izvlači informacije o platnim kraticama iz memorije aplikacija na POS terminalima.
Takva vrsta malicioznog programa poznata je pod nazivom RAM scarper, i u poslednjih godinu dana se sve češće koristi u napadima na POS sisteme.
Istraživači iz firme IntelCrawler takođe su pratili malver BrutPOS, za koji u ovoj firmi veruju da se pojavio u sajber podzemlju u maju ove godine kao projekat nazvan @-Brt. Prema mišljenju stručnjaka iz IntelCrawlera, malver ne cilja samo na RDP, već i na druge protokole za daljinsku administraciju kao što su VNC i PCAnywhere.
FireEye je identifikovao pet C&C servera malvera BrutPOS, od kojih su dva još uvek online. Ta dva servera nalaze se u Rusiji, dok su ostali locirani u Iranu i Nemačkoj.
Podaci prikupljeni sa ovih servera ukazuju da bot mreža ima 5622 kompromitovana računara iz 119 zemalja. Istraživači su identifikovali 60 kompromitovanih sistema, verovatno POS terminala, od koji se 51 nalazi u SAD.
"Najčešće korisničko ime bilo je “adminstrator” (36) a najčešća lozinka “pos” (12) i “Password” (12)”, kažu u FireEye.
Prema podacima IntelCrawlera, druge najčešće lozinke korišćene na kompromitovanim sistemima su aloha12345, micros, pos12345, posadmin i javapos.
Iako nema dovoljno informacija da bi se utvrdilo odakle je došao malver BrutPOS, postoje indicije da su napadači najverovatnije iz istočne Evrope, i to iz Rusije ili Ukrajine.
Izdvojeno
Lažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Ant... Dalje
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za gen... Dalje
MiniPlasma: stara ranjivost Windowsa ponovo aktuelna
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadač... Dalje
Hakovan sajt popularnog JDownloadera, korisnici preuzimali trojanizovane instalere
Popularni menadžer za preuzimanje JDownloader nakratko je postao kanal za distribuciju malvera nakon što su napadači kompromitovali zvanični sajt ... Dalje
Pratite nas
Nagrade
Prijatelji
