世界で最も複雑な販売レジマルウェアが発見された。感謝祭後の買い物狂騒の前夜に米国の小売店から何百万枚もの銀行カードを盗んだ後だった。
ModPOSマルウェアは、名前は公表されていないものの大手小売企業から「数百万枚」のデビットカードとクレジットカードを盗み出し、数百万ドルの損害をもたらした。
攻撃者は2013年後半から控えめかつ極めてプロフェッショナルなやり方で活動しており、マルウェア専門家による数週間にわたる骨の折れるリバースエンジニアリングの作業を経て初めて明るみに出た。
彼らも沈黙を守っている。サイバー犯罪フォーラムでは、このマルウェアに関する言及が全くない。
「これはPOS(販売時点情報管理)マルウェアの強化版です」と、iSight Partnersのシニアディレクター、スティーブ・ワード氏は語る。「私たちは少なくとも過去8年間、POSマルウェアを長年調査してきましたが、開発の面でこれほど高度なものは見たことがありません。…(エンジニアたちは)これはこれまで手にした中で最も洗練されたフレームワークだと言っています。」
ワード氏によると、彼のチームはModPOSの3つのカーネルモジュールのうち1つを解析するのに3週間を要したという。対照的に、同じ専門家たちが先週公開されたCherry Picker POSマルウェアのリバースエンジニアリングには30分しかかからなかった。
「信じられないほど才能のある」著者らは「素晴らしい仕事」を成し遂げ、セキュリティに対する理解が非常に深いため、その仕事はホワイトハットエンジニアたちに感銘を与えた。
「感動しないわけにはいかない」とウォード氏は言う。
同氏によると、犯罪者たちはルートキットのように動作する各パックされたカーネルドライバモジュールに膨大な時間とお金を費やしており、その検出も復元も困難だという。
0module ビルドに対するこのアプローチは斬新です。
アンチフォレンジックコンポーネントは非常に洗練されているため、高度な東欧の攻撃者が侵入した企業のほとんどは、攻撃の原因を把握できないことになります。
これは明らかに、大規模な収益の創出と投資収益を目的として設計されたツールです。
ウォード氏とその同僚は、感染に対して警戒を強めている全米の大手小売業者80社以上に状況を報告した。
同氏は、攻撃グループは、失われた難読化の一部を取り戻すためにコードベースの一部を変更する必要があるが、一部の変更は他の変更よりも実装がはるかに難しいだろうと付け加えた。
ネットワークおよびコマンドと制御データの流出と通信に使用される暗号化は、128 ビットと 256 ビットの暗号化で保護されており、後者では顧客ごとに新しい秘密キーが必要になります。
これにより、平文で詳細を吸い上げる他の売上登録マルウェアとは異なり、どのようなデータが盗まれているのかを知ることがはるかに困難になります。
「今後、この枠組みに立ち返る開示や妥協が見られるだろう。」®
