![point_of_sale.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzrlbRcFLrTowSNpstiz_d5u2bf0WZ_14fznD325ciZUacQMJwr1f2YcQGFKIUt1ezuqdKB8Ju9Uji3GY23dI3TeDCyGcp5ouhP9Os7gM10I1KKsS0MfDqizwLYatgFE-_NleQSVZ050s/s400/point_of_sale.jpg)
Недавно я получил пакет файлов, найденных в зараженной POS-системе (POS-система взломана из-за слабого пароля rdp)
Интерфейс взломанной POS-карты, используемой ювелиром:
![POS.png](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLdRFXhdnaONGETB5DXl2Xzt_u9ndy8ZKfvrk5ATyKT5jFFHkQHeoWzyse5saJPRazkrb-Uapby2CW1uRyaYYJNET9PnGuwVT2rQe7nVdob7n0hhXJZtcSZZOtO71mU14vOOf8AVcA3qQ/s400/POS.png)
out.exe это кейлоггер Ardamax (ardamax.com), а vui qua.exe это SFX-архив, который отображает это изображение при запуске:
![45266344-vui-1-a.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhl0UK_o4f082_TAs3SqWgxX4Q-vo2fuTm4XtRPxw1kuCinnXtGLEQKQ2CBa1iS7QsK7ydrZeJ7zgBOLFEjLg3zJT5Zi4bCbAbHAH6YswVhzvsYGhbTr1R2aHus8KNESrrE1X8ms54g8mw/s400/45266344-vui-1-a.jpg)
И отбросьте идеальный кейлоггер (blazingtools.com) назад.
"vui qua" может быть вьетнамской фразой, которая в переводе означает "такой забавный".
Эти два кейлоггера, вероятно, бесполезны для кардера, вот интересный файл "mmon.exe" a ram scraper.
Он сканирует каждый процесс в поисках дампов CC, которые были записаны в дорожки памяти 1, 2.
Если устройство торговой точки подключено к компьютеру, оно сразу же получит данные своей карты.
Как? POS-терминалы всегда используют сквозное шифрование, единственное место, где оно не зашифровано, - это внутренняя память.
Но .. объем памяти ограничен, поэтому данные постоянно перезаписываются.
Это также проблема для mmon, потому что эта хрень не имеет функции циклирования и не записывается внутрь файла.
POS-кардеры обычно используют вредоносное ПО получше этого, но у меня получилось так...
(mmon.exe "Kartoxa", вероятно, является искаженной версией слова "картофель")
процесс сканирования mmon.
тест mmon с действительным вторым треком в памяти
Когда обнаруживается дамп, программа ничего с ним не делает, она просто выводит содержимое на консоль.
Плохие парни просто подключаются к POS-терминалу через RDP, получают дампы через mmon и записывают их на магнитную полосу с помощью устройства для записи карт.
![Magnetic-Card-Reader-and-Writer-Hico-3-Tracks-With-USB-Interface.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgxOTOngT6ETJLtmteSD2BuSOvest3PHANxEIyEM-p-KhvHSyEvvNcKhUJ6CbfonbcUOkCbMq6ZFpC-PptJ2AxFbt22hn0swpQ3vwjTvK6MyAdYdvEbJAX2E8bmGZobRO139yLQLWir1Dg/s400/Magnetic-Card-Reader-and-Writer-Hico-3-Tracks-With-USB-Interface.jpg)
(Устройство считывания / кодирования магнитной полосы USB MSR606)
Затем используйте тиснитель, чтобы нанести отпечатанные цифры на карточку.
(Тиснитель DXR 70C)
И он готов к использованию ... в США (тип 101)
У нас в Европе есть 201 карта (pin и чип)
101 нужно всего лишь провести картой в магазине, и кассир проверит 4 последние цифры на карте, если они верны.
Кардеры также используют принтеры, такие как Fargo, для изготовления поддельных удостоверений личности.
В любом случае, POS-вредоносное ПО имеет высокую цену, и это не тот бизнес, которым может заниматься каждый.
(с) Стивен К.
![www.xylibox.com](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgzrlbRcFLrTowSNpstiz_d5u2bf0WZ_14fznD325ciZUacQMJwr1f2YcQGFKIUt1ezuqdKB8Ju9Uji3GY23dI3TeDCyGcp5ouhP9Os7gM10I1KKsS0MfDqizwLYatgFE-_NleQSVZ050s/w1200-h630-p-k-no-nu/point_of_sale.jpg)
POS Carding
I got recently a package of files found in a infected POS (POS hacked due to a weak rdp password) Interface of a compromised POS used b...