国家计算机病毒应急处理中心通过对互联网的监测发现了之前仅在地下黑产销售的POS恶意软件已被用于攻击中小型餐饮和娱乐行业,此恶意软件称为DMSniff。它还使用域名生成算法(DGA)来动态创建命令和控制域列表,该技术对攻击者很有价值,因为如果域名被执法部门、技术公司或托管服务提供商屏蔽,恶意软件仍然可以发送和接收命令或共享被盗数据。
研究人员认为,在POS恶意软件领域很少见到使用DGA。POS恶意软件继续困扰着食品服务和酒店等行业,其中老旧和不受支持的系统仍然普遍存在,特别是在中小型公司中。在这些以卡片交易为主的环境中,犯罪分子一直在瞄准这些易受攻击的设备。去年调查报告中的数据显示,销售点终端是数据库服务器背后受攻击次数最多的第二大网络资产 。
大多数情况下,恶意软件会在信用卡数据加密并发送到支付处理器之前,窃取信用卡Track 1和Track 2信息。攻击者可能在物理上篡改POS设备以安装恶意软件,或者可以通过网络利用漏洞来感染设备。
DMSniff已经隐蔽运行了至少四年,并至少从2016年开始被积极使用。分析人员认为使用DMSniff的攻击者通过暴力攻击SSH或扫描并利用漏洞来获取设备权限。
针对该恶意程序所造成的危害,建议用户做好安全防护,在连接POS机的计算机中安装安全防护软件,并将病毒库版本升级至最新版。同时,及时为系统安装安全补丁程序,谨防这类漏洞攻击,以免使电脑受到该恶意程序的危害。