Bọn mưu đồ bất lương nạo vét RAM để lấy dữ liệu thẻ ngân hàng

Scammersscrape RAM for bank card data

Dan Goodin, The Register2009-12-10

Theo:http://www.securityfocus.com/news/11567

Bài được đưa lênInternet ngày: 10/12/2009

Lờingười dịch: Bên cạnh việc ăn cắp mật khẩu củangười sử dụng và các phần mềm độc hại, việc nạovét RAM để ăn cắp các thông tin thẻ tín dụng nhằm mụcđích ăn cắp đang gia tăng mới từ một năm nay. “Bọnnạo RAM đã đóng một vai trò trong 4% trong 592 vụ đánhthủng mà Verizon Business đã điều tra trong thời gian 4 nămbắt đầu từ năm 2004. Đối lại, việc đăng nhập bằngbàn phím và các phần mềm gián điệp (mà cấu tạo nênmột chủng loại riêng) và các cửa hậu là có trong 19%và 18% các vụ một cách tương ứng”.

Xemthêm: Mossad(Israel) đã tấn công máy tính xách tay của Syria để đánhcắp các bí mật nhà máy hạt nhân.

Hãy quên chuyện đăngnhập bằng gõ bàn phím và những người hít những góinhỏ. Trong sự tỉnh giấc của những qui định của nềncông nghiệp yêu cầu các dữ liệu thẻ tín dụng phảiđược mã hóa, thì những phần mềm độc hại mà chúngđi qua được các thông tin văn bản rõ ràng (clear text) từbộ nhớ máy tính là tất cả cơn giận dữ trong nhữngkẻ mưu đồ bất lương, các nhà nghiên cứu về an ninh,nói.

“Thường thì, đâylà những phần mềm độc hại đặc chủng được sửdụng trong cuộc tấn công có nhiều mục đích hơn. Thườngthì, chúng được tùy biến để làm việc được vớicác hệ thống đặc biệt chỉ để bán của các nhà cungcấp, nên chúng hiểu được cách mà dữ liệu đượcđịnh dạng và được lưu trữ”.

Jason Milletary, nhànghiên cứu của Đơn vị về các mối Đe dọa Tính toáncủa SecureWorks, nói.

Cái gọi là bọn nạoRAM tẩy bộ nhớ truy cập được ngẫu nhiên (RAM) củaPOS, hoặc chỉ để bán, các máy tính đầu cuối, nơi màmã số cá nhân PIN và những dữ liệu khác của thẻ tíndụng phải được lưu trữ rõ ràng sao cho nó có thểđược xử lý. Khi các thông tin có giá trị đi qua, nóđược tải lên tới các máy chủ được kiểm soát bởibọn ăn cắp thẻ tín dụng.

Trongkhi bọn nạo RAM từng có từ ít năm nay, thì chúng là mộtmối đe dọa “khá mới”, theo một báo cáo được đưara hôm thứ tư mà nó phác họa 15 cuộc tấn công thườngcó nhất từng xảy ra của các chuyên gia tại VerizonBusiness. Họ đã đi tới việc đưa ra những qui địnhcủa giới Công nghiệp Thẻ Thanh toán mà đòi hỏi các dữliệu thẻ tín dụng phải được mã hóa khi đi qua từnhững thương nhân tới các nhà xử lý.

“Họ chắc chắn làmột câu trả lời cho một số xu hướng bên ngoài màchúng đã và đang diễn ra trong môi trường tội phạmkhông gian mạng”, Wade Baker, nhà nghiên cứu và phụ tráchtình báo của Verizon Business, nói. “Trong vòng 1 năm, chúngtôi đã thấy một ít trong số họ đang hoành hành”.

Các nhân viên củaVerizon gần đây đã phát hiện các phần mềm độc hạitrên máy chủ POS cuaru một sòng bạc và nhà nghỉ dưỡngkhông tên tuổi mà nó đã có một số lượng lớn khôngbình thường những người sử dụng mà họ đã phảichịu đựng sự giả mạo về thẻ tín dụng. Các phầnmềm độc hại này là tinh vi phức tạp đủ để chui vàođược các dữ liệu thẻ thanh toán rồi nạo vét toàn bộnội dung của bộ nhớ. Điều đó là sống còn cho việcđảm bảo các phần mềm độc hại này đã không làmchậm lại các máy chủ mà có thể tránh được các nhàquản trị.

Forgetkeyloggers and packet sniffers. In the wake of industry rulesrequiring credit card data to be encrypted, malware that siphonsclear-text information f-rom computer memory is all the rage amongscammers, security researchers say.

“Typically, these are specialized malware used in more targetedattack. Often times, they are customized to to work with specificvendors' point-of-sale systems, so they understand how the data isformatted and stored. ”

JasonMilletary, researcher, SecureWorks' Counter Threat Unit

So-calledRAM scrapers scour the random access memory of POS, or point-of-sale,terminals, whe-re PINs and other credit card data must be stored inthe clear so it can be processed. When valuable information passesthrough, it is uploaded to servers controlled by credit card thieves.

WhileRAM scrapers have been around for a few years, they are a "fairlynew" threat, according to a report released Wednesday thatoutlines the 15 most common attacks encountered by security expertsat Verizon Business. They come in the wake of Payment Card Industryrules that require credit card data to be encrypted as it passes f-rommerchants to the processing houses.

"Theyare definitely a response to some of the external trends that havebeen going on in the cybercrime environment," says Wade Baker,research and intelligence principal for Verizon Business. "Withina year, we've seen quite a few of them in the wild."

Verizonemployees recently found the malware on the POS server of an unnamedresort and casino that had an unusually high number of customers whohad suffered credit card fraud. The malware was sophisticated enoughto log only payment card data rather than dumping the entire contentsof memory. That was crucial to ensuring the malware didn't cre-ateserver slowdowns that would tip off administrators.

Những kẻ nạo RAMđưa các dữ liệu và các ổ cứng máy chủ. Những thủphạm này đã viếng thăm theo những khoảng thời gianthường xuyên nào đó thông qua một cửa hậu trên máytính để thu thập các chiến lợi phẩm.

Bọnnạo RAM đã đóng một vai trò trong 4% trong 592 vụ đánhthủng mà Verizon Business đã điều tra trong thời gian 4 nămbắt đầu từ năm 2004. Đối lại, việc đăng nhập bằngbàn phím và các phần mềm gián điệp (mà cấu tạo nênmột chủng loại riêng) và các cửa hậu là có trong 19%và 18% các vụ một cách tương ứng.

Jason Milletary, mộtnhà nghiên cứu với Đơn vị về những mối Đe dọa Tínhtoán của SecureWorks, nói ông cũng thấy một sự gia tăngtrong bọn nạo vét RAM qua vài năm gần đây.

“Thường thì, đâylà những phần mềm độc hại đặc biệt được sửdụng trong các cuộc tấn công nhiều mục tiêu hơn”, ôngnói. “Thường xuyên, chúng được tùy biến để làmviệc với các hệ thống điểm để bán của các nhàcung cấp đặc biệt, nên chúng hiểu cách mà dữ liệuđược định dạng và lưu trữ”.

Như vậy, chúng khómà bị dò ra bởi các chương trình chống virus, ông vàBaker của Verizon nói. Những dấu hiệu của câu chuyệnnày mà họ đã từng được cài đặt bao gồm cả sựhiện diện của các tệp rdump lạ lẫm và các perl scripttrên một ổ đĩa cứng, những thay đổi ngẫu nhiên trênkhông gian đĩa trống và việc giám sát các đăng ký vàqui trình của hệ thống.

TheRAM scraper dumped the data onto the server's hard drive. Theperpetrators visited at regular intervals through a backdoor on themachine to collect the booty.

RAMscrapers played a role in four percent of the 592 breaches VerizonBusiness investigated over a four year period starting in 2004. Bycontrast, keyloggers and spyware (which comprise a single category)and backdoors factored into 19 percent and 18 percent of the casesrespectively.

JasonMilletary, a researcher with SecureWorks' Counter Threat Unit, saidhe's also seen an uptick in RAM scrapers over the past few years.

"Typically,these are specialized malware used in more targeted attacks," hesays. "Often times, they are customized to to work with specificvendors' point-of-sale systems, so they understand how the data isformatted and stored."

Assuch, they are rarely detected by anti-virus programs, he andVerizon's Baker say. Tell-tale signs they've been installed includethe presence of strange rdump files and perl scripts on a hard drive,sudden changes in free disk space and the monitoring of registriesand system processes.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com