POS惡意軟體，可回傳信用卡號及個人資料

FighterPOS的功能和其他PoS惡意軟體家族相似，可以收集信用卡磁軌1，磁軌2和CVV碼，還包含記憶體擷取功能，此外，攻擊者可以通過鍵盤測錄功能測錄到受感染終端上的按鍵記錄。

趨勢科技發現巴西有100多家受害組織受到FighterPOS的影響，已經竊取超過22,000筆不重複的信用卡號碼，其創作者似乎在支付詐騙和惡意軟體製造上有很長的歷史，我們認為這個惡意軟體創作者是獨立行動，沒有任何同夥協助。FighterPOS目前售價是18比特幣（約為5,250美元）雖然不便宜但精心設計的控制皮膚和多種功能的支援，足以誘惑到攻擊者。

購買

乍一看，這則廣告似乎沒有什麼奇特的地方，但讓人感興趣的是廣告和其惡意軟體支援功能的專業性質。

（銷售FighterPOS的廣告）

控制皮膚和惡意軟體以18.3823比特幣的價格出售（大約是5,250美元），雖然價格很貴，但把錢賺回來的機會也很大。買方可以立即轉售收到的信用卡資料或留待以後使用，如果攻擊者想要額外的可執行檔案和控制檯，會額外收取800美元。

（FighterPOS控制檯）

創作者通過使用者名稱cardexpertdev，在廣告裡表示攻擊者可以利用加密服務來確保惡意軟體躲過防病毒軟體偵測。

cardexpertdev除了出售FighterPOS，還販賣信用卡號碼、EMV晶片記錄程式及其他類似的與詐騙相關的產品及犯罪工具給。

受害者

從C&C伺服器取得的資料顯示FighterPOS感染了大約113臺PoS終端，發現超過90％感染機器在巴西，少數在美國、墨西哥、義大利和英國也有發現。

（FighterPOS影響機器的分佈）

受感染系統能在一個月內送出22,112筆不重複的信用卡轉儲資料給FighterPOS攻擊者，許多FighterPOS的受害者是LinxMicroVix或Linx POS系統使用者， 兩者都是巴西流行的軟體套件。

FighterPOS功能

FighterPOS的功能跟其他PoS惡意軟體家族類似，它可以收集信用卡磁軌1，磁軌2和CVV碼，還包含記憶體擷取功能。此外，攻擊者能夠通過鍵盤側錄功能側錄到受感染終端上的按鍵紀錄。

FighterPOS程式程式碼並非是全新的，其改寫vnLoader惡意軟體（針對殭屍網路）來加入PoS專用功能。它保留了其“Botnet傀儡殭屍網路”的功能，包括：

l  惡意軟體自動更新

l  檔案下載和執行

l  送出信用卡資料

l  送出鍵盤側錄資料

l  網路第7層或第4層的DDoS攻擊

DDoS功能讓POS惡意軟體家族靈活的吸引了潛在買家。

結論

FighterPOS是一個全功能的惡意軟體，精心開發了強加密功能。支援多種方式來與C&C基礎設施聯機。它的鍵盤側錄功能可以進行DDoS攻擊並完全控制受害者機器。目前，我們估計每個受感染機器可以送回十個新信用卡號碼。

趨勢科技持續評估這個威脅，不僅研究惡意軟體家族，也研究其C&C基礎設施，通過終端監控和驗證發現活躍著的感染活動，趨勢科技的Deep Discovery Inspector可以使用入侵指標，下面列出C＆C伺服器和網站：

入侵指標

我們發現在使用中的C&C伺服器和網站：

l  69[點]195[點]77[點]74

l  ctclubedeluta[點]org

l  msr2006[點]biz

l  sitefmonitor[點]com