Visa警告：恶意软件攻陷北美加油站POS系统

Visa警告说，复杂的网络犯罪组织已经利用恶意软件攻陷了北美部分加油站POS。

2019年夏，已经发现了三种不同的攻击方式，有两种攻击影响了加油机POS系统。Visa认为，加油站这些金融终端业务将成为对网络犯罪集团越来越有吸引力的目标。

Visa在报告（PDF）中指出，攻击主要集中在收集支付卡数据，主要是由于缺乏安全的访问技术以及不符合支付卡行业数据安全标准（PCI DSS）造成得。

作为第一次攻击的一部分，网络犯罪分子向北美洲加油站的员工发送了网络钓鱼电子邮件。该电子邮件包含一个恶意链接，该链接将受害者定向到远程访问特洛伊木马（RAT），从而使攻击者可以访问受感染的网络。

进行侦察后，威胁行为者获得并使用凭据在PoS环境中横向移动。然后，攻击者在PoS系统上部署了一个内存（RAM）抓取器，以收集支付卡数据。

Filename psemon10.dll

Exported DLL Name psemonitor_x86.dll

MD5  19d38325f715f623bd4b6e819a150cde

SHA1  15f34ce2e4a9c8bbeb6fa243d70d587f7a627ece

SHA256  cc5b3904458b144c5f263f47a3dffc9628ecdccab993bf7e01d345f496692c1a

SSdeep 384：nOZZmnD/R1EuVbtOWm/WzA3eaRrG2b44JR8kFvbWMz1DuDetv8fQYNRcAIoGlRt:OqQu Nts3/Rq20s9dWyDPtRYXc1Rb

IOC：

C2s Troxymuntisex[.]org (162.243.40[.]7) Nduropasture[.]net (192.64.119[.]98) Diolucktrens[.]org (157.230.233[.]65) Fraserdolx[.]org (134.209.78[.]73

第二次事件的目标是北美的另一名商人，但是攻击方向和横向移动方法尚不清楚。网络罪犯将RAM收集器部署到PoS系统上，并从中收集支付卡数据。

“目标商人既接受店内终端的芯片交易，又接受燃油泵的磁条卡交易，注入POS环境的恶意软件似乎已专门针对磁条/磁道数据。因此，非芯片燃油泵上使用的支付卡在POS环境中存在风险。” Visa解释说。

从受感染的系统中收集到的危害指标表明，该攻击是由有经济动机的黑客组织FIN8组实施的，该组织至少自2016年以来一直瞄准零售，餐饮和酒店业。

FIN8黑客第三次攻击袭击了一家北美酒店商。使用了一种FIN8的恶意软件，以及该组织以前没有发现的新恶意软件，这是一种基于Ursnif RM3变体的shellcode后门。

声明：本文来自malwarebenchmark，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。