肖恩·迈克尔·科尔纳| 2014年11月18日
过去 12 个月,零售业不断出现数据泄露的报道,通常是由于某种形式的自动售货机恶意软件造成的。安全软件制造商 Cyphort 的一份新报告研究了犯罪分子使用的某些主要工具。
去年最大的泄密事件之一发生在家得宝 (Home Depot)。它影响了 5600 万张信用卡和 5300 万个电子邮件地址。今年 9 月,家得宝首次证实了数据泄露事件。她指出,攻击者使用的恶意代码此前并未被人们所知。
Cyphort 联合创始人兼首席架构师 Fangmin Gong 博士怀疑用于窃取 Home Depot 数据的恶意软件被称为 FrameworkPOS,尽管有理由对此表示怀疑。
Gong 向 eWEEK 表示:“Cyphort 目前没有可以与 Home Depot 关联的样品库存。” “根据我们对所有 POS 样本的分析以及社区进行的研究,我们认为它是 FrameworkPOS。”
Gong 补充道,鉴于 Home Depot 对此并不了解,因此攻击 Home Depot 的恶意软件也可能是 Backoff 代码的一个变体。他说,Cyphort 对不同 POS 恶意软件家族的行为更感兴趣,而不是在特定案例中使用了哪一种恶意软件。
美国特勤局于 7 月首次公开报告了 POS 恶意软件家族。 Backoff 已影响到至少 1,000 家零售店。
除了 Backoff 和 FrameworkPOS 之外,Cyphort 还分析了一个名为 BlackPOS 的恶意软件系列,Cyphort 怀疑该恶意软件曾在 2013 年 11 月攻击 Target。那次攻击影响了 7000 万客户。今年 8 月,塔吉特公开宣布需要 1.48 亿美元来支付此次渗透相关的成本。
Backoff、FrameworkPOS 和 BlackPOS 有许多共同的特点。龚表示,最主要的是,他们都可以通过查看自动售货机的 RAM 来收集信用卡数据。另外,Gong 补充道,Backoff 在复杂性和功能方面与 Fra 西班牙电报数据 meworkPOS 和 BlackPOS 有所不同。
美国特勤局感谢安全软件制造商 Trustwave 在最初发现 Backoff 时提供的帮助。 Trustwave 的首席安全研究员 Ryan Merritt 告诉 eWeek,所有自动售货机恶意软件家族都会在处理 RAM 时扫描它们以提取信用卡号。他说道,有些家庭更有目的性,但他们都会扫描工作记忆。
“基本功能非常相似。梅里特说,有些人甚至认为 BlackPOS 和 FrameworkPOS 属于同一个家族。 “但主要的区别通常在于恶意软件如何确保其在受害系统中的生存能力,以及它是否使用对接收到的卡数据的过滤。”
在自动售货机恶意软件家族中,现在也存在多个变种。据梅里特称,巴克夫家族迄今为止已发现十多个这样的化石。