Deux nouvelles menaces ciblent les points de vente
Mophick et Trend Micro viennent d’identifier deux nouveaux logiciels malveillants visant les systèmes de points de vente : LogPOS et PwnPOS.
Les systèmes de points de vente (PoS, pour Point of Sales) n’ont pas fini d’intéresser les pirates. Coup sur coup, deux nouveaux logiciels malveillants visant ces systèmes viennent d’être découverts.
Dans un billet de blog, Nick Hoffman, chez Morphick, décrit ainsi LogPOS, un logiciel qui, explique-t-il, affiche « plusieurs différences notables avec les autres logiciels malveillants pour points de vente récents ». De fait, explique le chercheur, LogPOS injecte du code dans différents processus pour pousser chacun d’entre eux à examiner leur mémoire allouée à la recherche de détails de cartes.
« Et puisque tous ne peuvent pas ouvrir le même fichier avec un droit d’écrire en même temps, il utilise des mailslots ».
Il s’agit d’un mécanisme de communication unidirectionnel entre processus. Leur utilisation n’est pas une nouveauté, mais une originalité. LogPOS s’en sert pour collecter les données de cartes de paiement et les transférer à ses opérateurs – en clair et sans protection par mot de passe avec l’échantillon étudié. Reste que ce recours aux mailslots permet à LogPOS d’échapper aux méthodes de détection habituelles. Nick Hoffman propose une règle de détection.
Autre menace contre les PoS, Trend Micro vient également de découvrir une nouvelle famille de logiciels malveillants pour points de vente, PwnPOS. Dans son billet de blog, Jay Yaneza décrit un logiciel qui fouille assez classiquement dans la mémoire vive à la recherche de données de cartes de paiement qu’il enregistre sur un fichier. Ce dernier est exfiltré par SMTP.
Afin de s’assurer une certaine persistance, PwnPOS embarque des fonctions lui permettant de s’ajouter et de se supprimer de la liste des services, ce qui permet « au fichier malicieux d’apparaître bénin alors qu’il atteint au sein du dossier système sa prochaine invocation ».
La fonction de contrôle du compte utilisateur (UAC) présente dans Windows depuis Vista peut empêcher l’exécution de PwnPOS, explique l’analyste de Trend Micro. Autre limitation, ce logiciel malveillant ne se lance correctement que sur un système 32 bits.
Mais ce ne seraient malheureusement pas de véritables limitations puisqu'« une bonne majorité de terminaux de points de vente fonctionnent toujours sous Windows XP ».
Pour approfondir sur Menaces, Ransomwares, DDoS
-
Cybersécurité : le temps de présence des attaquants diminue, le nombre de ransomwares augmente
-
Vulnérabilités ScreenConnect : Black Basta et Bl00dy se font plaisir
-
Digital Workplace : les pistes de Deloitte pour repenser le bureau et le poste de travail
-
RDP : un autre vecteur de choix pour les ransomwares