Alert zabezpieczeń naukowcy z nowej rodziny złośliwego oprogramowania PoS

Computer Security News

Eksperci od bezpieczeństwa mają tylko powiadamiani o nowy malware punkt sprzedaży (POS). Obecnie są one nie niektórych Jeśli zagrożenie jest w fazie rozwoju, lub jest już używany, obok błędów kodowania, w kampanii niewykrytego złośliwego oprogramowania.

Według naukowców malware PoS był odpowiedzialny za wiele wysokiej profil danych naruszeń w ostatnich latach. Są one związane z rosnące wykorzystanie EMV (chip & pin) karty płatnicze w USA, co sprawia, że karta obecnie oszustwa trudniejsze.

W oparciu o powyższe, eksperci bezpieczeństwa mają zawsze oczekuje że hakerzy wybrać karty nie obecnie (to znaczy, online) oszustwa, Dokonywanie online kradzieży karty prefferable znacznie więcej.

Jest to, jak naukowcy z Forcepoint opisane PoS malware w analizie blogu wczoraj:

“To wydaje się być nową rodzinę, która obecnie Wzywamy ‘UD PoS’ ze względu na jego intensywnego użytkowania DNS opartych na UDP ruchu.”

Jakość kodowania nie zaimponować dużo ekspertów i opisywali go jako ‘błędna klejnot’, gdzie ‘błędna’ odnosi się do kodowania i ‘perła’ emocje odkrywania nowej igły w stogu siana stary złośliwego oprogramowania.

Nowy Szkodnik wykorzystuje motyw ‘LogMeIn’ jako kamuflaż. Serwer C2 jest hosting usługi logmeln.network (z ‘L’ a nie ‘I’) plik dropper, update.exe. Jest to samorozpakowujące archiwum 7-Zip, który zawiera LogmeinServicePack_5.115.22.001.exe i logmeinumon.exe. Składnik usługi złośliwego oprogramowania jest uruchamiane automatycznie przez 7-Zip na ekstrakcji.

Ten sam składnik usługi jest utworzenie folderu własnej, ustanawiające wytrwałości. Po tym to przekazuje kontrolę do drugiego, lub monitorowania, składnika poprzez uruchomienie logmeinumon.exe. Dwa składniki mają podobną strukturę i używać ten sam ciąg kodowanie technika aby ukryć nazwę C”serwera, nazwy plików i nazwy zakodowane procesu.

To jest składnik monitor, który tworzy pięciu różnych wątków po próby anty-AV i wyboru maszyny wirtualnej i stworzenie lub ładowania istniejącego maszyna ID. Identyfikator urządzenia jest używane w kwerendach DNS wszystkich malware. Anty -AV/ VM jest wadliwy proces próbuje otworzyć tylko jedną z kilku modułów.

Raz podczas pierwszego uruchomienia, złośliwe oprogramowanie generuje plik wsadowy (infobat.bat) do linii papilarnych zainfekowanego urządzenia, dane zapisywane do pliku lokalnego przed wysłaniem do serwera C2 poprzez DNS. Prawdziwą przyczyną tego jest nieznany, choć według ekspertów, “Mapa sieci, listę uruchomionych procesów i listę zainstalowanych zabezpieczeń aktualizacji jest bardzo cenne informacje.”

Malware analiza wykazała proces przeznaczony do gromadzenia danych kart płatniczych Track 1 i Track 2 przez skrobanie pamięci uruchomionych procesów. W przypadku dowolnego utworu 1/ 2 danych zostanie znaleziony, jest wysyłane do serwera C2. Naukowcy twierdzą, że dziennik jest również utworzone i przechowywane prawdopodobnie, “dla pur pos e na śledzenie co został już przedłożony do serwera C2.”

Gdy eksperci próbował znaleźć dodatkowe próbki z tej samej rodziny złośliwego oprogramowania, znaleźli innej usługi, komponent, ale bez odpowiedniego składnika monitor. Składnik miał tematu ‘Intel’ zamiast ‘LogMeIn’ tematu. Został skompilowany z końcem września 2017, dwa tygodnie przed kompilacja pieczęcią 11 października 2017 składników LogMeIn.

Autorzy mówią, “Czy to znak, że autorzy złośliwego oprogramowania nie powiodły się w temacie Wdrażanie go na początku lub czy są to dwa różne kampanie nie może być w pełni ustalony w tej chwili ze względu na brak dodatkowych plików wykonywalnych,” .

Eksperci ostrzegają, że starsze systemy PoS są często oparte na zmiany jądra systemu Windows XP. “Podczas gdy Windows POS gotowy jest objęte wsparciem aż do stycznia 2019, jest to nadal zasadniczo system operacyjny, który ma siedemnaście lat w tym roku.”

Administratorzy są zachęcani do monitorowania nietypowa aktywność wzorców, “Identyfikacji i reagowania na te wzory, firm–PoS właściciele terminali i dostawców–można zamknąć tego rodzaju ataku prędzej.”


Leave a Reply

Your email address will not be published. Required fields are marked *