Pratite nas preko RSS-aBot mreža BrutPOS napada slabo zaštićene POS sisteme
Vesti, 10.07.2014, 08:42 AM
Hiljade kompromitovanih računara pokušavaju da provale u POS (point-of-sale) sisteme koristeći brute-force tehnike da bi došli do kredencijala za daljinsko administriranje.
Kompromitovani računari deo su bot mreže koju su istraživači kompanije FireEye nazvali BrutPOS i za koju se veruje da je aktivna od februara ove godine, a možda i ranije.
Bot mreža skenira IP adrese koje određuju operateri bot mreže u potrazi za Remote Desktop Protocol servisom.
Kada identifikuje RDP servis, malver BrutPOS pokušava da se prijavi sa korisničkim imenima i lozinkama sa liste koju ima.
“Neka korisnička imena i lozinke ukazuju da napadači traže određene marke POS sistema kao što je Micros”, kažu iz kompanije FireEye.
Ako malver BrutPOS uspešno pogodi kredencijale za daljinski pristup sistemu, on šalje povratne informacije komandno-kontrolnom serveru (C&C). Napadači tada koriste ove informacije da bi ustanovili da li je sistem POS terminal, i ako jeste, onda instaliraju maliciozni program dizajniran da izvlači informacije o platnim kraticama iz memorije aplikacija na POS terminalima.
Takva vrsta malicioznog programa poznata je pod nazivom RAM scarper, i u poslednjih godinu dana se sve češće koristi u napadima na POS sisteme.
Istraživači iz firme IntelCrawler takođe su pratili malver BrutPOS, za koji u ovoj firmi veruju da se pojavio u sajber podzemlju u maju ove godine kao projekat nazvan @-Brt. Prema mišljenju stručnjaka iz IntelCrawlera, malver ne cilja samo na RDP, već i na druge protokole za daljinsku administraciju kao što su VNC i PCAnywhere.
FireEye je identifikovao pet C&C servera malvera BrutPOS, od kojih su dva još uvek online. Ta dva servera nalaze se u Rusiji, dok su ostali locirani u Iranu i Nemačkoj.
Podaci prikupljeni sa ovih servera ukazuju da bot mreža ima 5622 kompromitovana računara iz 119 zemalja. Istraživači su identifikovali 60 kompromitovanih sistema, verovatno POS terminala, od koji se 51 nalazi u SAD.
"Najčešće korisničko ime bilo je “adminstrator” (36) a najčešća lozinka “pos” (12) i “Password” (12)”, kažu u FireEye.
Prema podacima IntelCrawlera, druge najčešće lozinke korišćene na kompromitovanim sistemima su aloha12345, micros, pos12345, posadmin i javapos.
Iako nema dovoljno informacija da bi se utvrdilo odakle je došao malver BrutPOS, postoje indicije da su napadači najverovatnije iz istočne Evrope, i to iz Rusije ili Ukrajine.
Izdvojeno
Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima
Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje
40 lažnih ekstenzija za Firefox krade kriptovalute korisnika
Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje
Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt
Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje
Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču
Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje
Kada sajber kriminal ubija: Bolnice na udaru ransomware-a
.jpg)
Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje
Pratite nas
Nagrade
Prijatelji
