Aumentar a visibilidade de TI e de negócios valor
Um botnet tem comprometido 60 pontos de venda (PDV) por ataques de senha de força bruta contra conexões mal garantidos, os pesquisadores FireEye dizer.
O trio incluindo Nart Villeneuve, Joshua Homan e Kyle Wilhoit encontrados 51 das 60 caixas PoS surgiram foram baseados nos Estados Unidos.
Os ataques eram básicos e direcionados terminais de protocolo de desktop remoto que usavam senhas vergonhosamente simples, como 'password1', 'administrador' e 'pos'.
Os perpetradores que executam o 5622 BrutPoS forte máquina botnet parecia estar localizado na Europa Oriental, dada a linguagem usada nas interfaces e logs. Os computadores infectados foram espalhados por 119 países.
Os pesquisadores descobriram cinco servidores de comando e controle, três dos quais eram offline.
"O sistema infectado começa a fazer conexões com a porta 3389, se a porta está aberta, acrescenta o IP a uma lista de servidores a serem ataque de força bruta com as credenciais fornecidas", escreveu o trio em um poste .
"Se o sistema infectado é capaz de força bruta com sucesso um servidor RDP, ele relata de volta com credenciais."
Infecções BrutPoS: FireEye
O malware foi implantado em sistemas infectados e informações de cartão de pagamento extraídos de processos em execução. Ele tentou obter permissões que possam identificar as configurações de POS de depuração e se for bem sucedido correu um executável. Se falhasse, ele se instalado como um serviço.
O trio construiu um honeypot que emitiu sinais que imitam a infecção e viu como os atacantes bateu seu logon RDP e se arrastou ao redor da caixa tentando abrir seu software POS instalado antes de formatar o disco para apagar trilhas em evidências. ®
Nenhum comentário:
Postar um comentário