کشف بدافزار جدید دیگر بر روی سامانه های فروشگاهی
در هفته های گذشته خبر سرقت مشخصات کارتهای بانکی و اعتباری در سامانه های چندین فروشگاه زنجیره ای از طریق بدافزاری موسوم به Trojan.POSRAM بازتاب گسترده ای در رسانه های جهان داشته است. اکنون محققان شرکت IntelCrawler خبر از کشف بدافزار جدیدی دیگر، با نام Decebal داده اند که قادر به سرقت داده های ذخیره شده بر روی حافظه موقت سامانه های فروشگاهی است. براساس تحقیقات کارشناس امنیتی این شرکت بدافزار Decebal در سیزدهم دی ماه عرضه شده است.
Decebal به زبان VBScript و در کمتر از 400 خط کد نوشته شده است. با وجودی که کدنویسی بدافزار را نمی توان چندان حرفه ای دانست اما این بدافزار قادر است داده رمز شده بر روی نوار مغناطیسی کارتهای بانکی و اعتباری را از حافظه سامانه فروشگاهی سرقت کند. ضمن اینکه این بدافزار دارای توابعی برای فرار از سد ابزارهای ضدبدافزار همچون قابلیت Sandbox در نرم افزارهای ضدویروس است.
استفاده از زبانهای اسکریپتی برای نوشتن بدافزار چندان غیرمعمول نیست. اما برای اینگونه خاص از بدافزارها نمونه ای کاملاً جدید است. استفاده از VBScript علاوه بر سادگی، مزایای دیگری نیز دارد؛ از جمله اینکه بر روی تمامی نسخه های Windows از 98 گرفته تا 8.1 بدون نیاز به تفسیرگر قابل اجراست. سیستم عامل بسیاری از سامانه های فروشگاهی نسخه هایی از Windows Embedded است. ضمن اینکه برنامه های نوشته شده به زبان VBScript را به راحتی می توان از برنامه ها یا اسکریپت های دیگر فراخوانی کرد. همچنین VBScript به صورت گسترده ای توسط مدیران شبکه برای اجرای خودکار یا زمان بندی فرامین مختلف بر روی سیستم های شبکه استفاده می شود. موضوعی که خود می تواند سوءظن کاربران را به مخرب بودن چنین اسکریپت هایی کمتر کرده و در نتیجه شناسایی آن را به تاخیر بیاندازد.
در اکثر سیستم های فروشگاهی، ارسال مشخصات کارت از دستگاه کارت خوان به سامانه فروشگاهی بدون استفاده از شیوه های رمزگذاری انجام می شود. بنابراین Decebal داده های ارسالی از دستگاه کارت خوان به سامانه را بدون نیاز به هیچ گونه تابع رمزگشایی شنود می کند. راهکار حفاظت از مشخصات کارتها از گزند چنین بدافزارهایی، رمز کردن داده ها بر روی دستگاه کارت خوان پیش از ارسال آن به سامانه فروشگاهی است. Decebal داده های جمع آوری شده را به یک سرور فرماندهی و کنترل ارسال می کند.
نام توابع و متغیرهای موجود در کدهای این بدافزار نشان می دهد نویسنده یا نویسندگان این بدافزار رومانیایی هستند. نام بدافزار، Decebal نیز از Decebalus، یکی از پادشاهان دوران باستان و چهره ای معروف در تاریخ کشور رومانی، برگرفته شده است.
در طی سالهای اخیر بسیاری از سامانه های فروشگاهی، بی توجه به مسائل امنیتی، به یکدیگر متصل شده اند. بسیاری از سامانه های موجود دارای سیستم های عامل قدیمی و حتی برخی از آنها فاقد هر گونه ضدویروس می باشند.
اتفاقات اخیر می تواند زنگ خطری برای فروشگاه ها و مراکز خرید دیگر کشورها از جمله ایران باشد. نصب اصلاحیه های سیستم عامل، عدم بکارگیری گذرواژه های ساده و استفاده از ضدویروس به روز بر روی سامانه های فروشگاهی حداقل الزامات امنیتی برای اینگونه سامانه ها است.
