Cảnh báo các nhà nghiên cứu an ninh của gia đình phần mềm độc hại mới PoS

Computer Security News

Chuyên gia bảo mật chỉ có cảnh báo của một phần mềm độc hại mới Point of Sale (POS). Hiện tại, họ là không chắc chắn nếu các mối đe dọa đang được phát triển, hoặc nó đã được sử dụng, cùng với các lỗi mã hóa, trong một chiến dịch không bị phát hiện phần mềm độc hại.

Theo các nhà nghiên cứu, phần mềm độc hại PoS đã được chịu trách nhiệm về vi phạm đối với dữ liệu hồ sơ cao nhiều trong năm qua. Họ có liên quan đến việc sử dụng ngày càng tăng (chip & pin) thanh toán thẻ EMV ở Hoa Kỳ mà làm cho gian lận thẻ hiện nay khó khăn hơn.

Dựa trên những điều nêu trên, chuyên gia bảo mật đã luôn mong đợi rằng tin tặc sẽ lựa chọn thẻ không phải đến nay (tức là, trực tuyến) gian lận, làm cho hành vi trộm cắp trực tuyến chi tiết thẻ nhiều hơn nữa prefferable.

Điều này là làm thế nào các nhà nghiên cứu từ Forcepoint mô tả phần mềm độc hại PoS trong một phân tích blog vào ngày hôm nay:

“Đây dường như là một gia đình mới mà chúng tôi hiện đang kêu gọi ‘UD PoS’ do sử dụng nặng nề của DNS UDP dựa trên lưu lượng truy cập.”

Chất lượng của các mã hóa đã không gây ấn tượng với các chuyên gia nhiều và họ miêu tả nó như là ‘một thiếu sót đá quý’, mà ‘sai lầm’ đề cập đến mã hóa và ‘đá quý’ với sự phấn khích của khám phá mới kim trong các haystack cũ phần mềm độc hại.

Phần mềm độc hại mới sử dụng một chủ đề ‘LogMeIn’ là ngụy trang. C2 server là dịch vụ-logmeln.network (với một ‘L’ thay vì một ‘I’) lưu trữ các tập tin nhỏ giọt, update.exe. Đây là một tự giải nén 7-Zip lưu trữ có chứa LogmeinServicePack_5.115.22.001.exe và logmeinumon.exe. Thành phần dịch vụ phần mềm độc hại là do tự động 7-Zip vào khai thác.

Các thành phần dịch vụ tương tự thiết lập một thư mục riêng của mình, kiên trì dựng. Sau đó, nó đi quyền kiểm soát các thành phần thứ hai, hoặc giám sát, bằng cách tung ra logmeinumon.exe. Hai thành phần có một cấu trúc tương tự, sử dụng cùng một chuỗi mã hóa kỹ thuật để ẩn tên C “server, tên tập tin và cứng mã hoá quá trình tên.

Nó là thành phần màn hình tạo ra các chủ đề khác nhau của năm sau khi cố gắng một AV chống và kiểm tra máy ảo và hoặc là tạo ra hoặc tải ID hiện có’ máy tính’. ID máy được sử dụng trong tất cả phần mềm độc hại của các truy vấn DNS. Các chống VM -AV/ quá trình là thiếu sót, cố gắng mở chỉ là một trong một số mô-đun.

Một lần chạy đầu tiên, phần mềm độc hại tạo ra một tập tin thực thi (infobat.bat) đến điện thoại bị nhiễm, vân tay với các chi tiết được ghi vào một tập tin địa phương trước khi được gửi đến máy chủ C2 thông qua DNS. Lý do thực sự của việc này là không rõ, mặc dù theo các chuyên gia, “bản đồ mạng, danh sách các chạy các quá trình và danh sách Cập Nhật đã cài đặt bảo mật là rất có giá trị thông tin.”

Phân tích phần mềm độc hại cho thấy một quá trình được thiết kế để thu thập dữ liệu thẻ thanh toán Track 1 và 2 ca khúc bằng cách cào bộ nhớ của tiến trình đang chạy. Trong trường hợp bất kỳ theo dõi 1/ 2 dữ liệu được tìm thấy, nó được gửi đến máy chủ C2. Các nhà nghiên cứu nói rằng một đăng nhập cũng được tạo ra và lưu trữ có lẽ là, “pur pos e của theo dõi của những gì đã được gửi đến máy chủ C2.”

Khi các chuyên gia đã cố gắng để tìm thêm các mẫu của cùng một gia đình phần mềm độc hại, họ tìm thấy một dịch vụ khác nhau thành phần, nhưng mà không có một thành phần màn hình tương ứng. Các thành phần có một chủ đề ‘Intel’ chứ không phải là một chủ đề ‘LogMeIn’. Nó được biên soạn vào cuối tháng 9 năm 2017, hai tuần trước khi đóng dấu biên tập của 11 tháng 10 năm 2017 cho các thành phần LogMeIn.

“Cho dù đây là một dấu hiệu rằng tác giả của phần mềm độc hại đã không thành công trong việc triển khai nó lần đầu tiên hoặc cho dù đây là hai khác nhau các chiến dịch không thể đầy đủ được xác định tại thời điểm này vì thiếu thực thi bổ sung,” các tác giả nói.

Các chuyên gia cảnh báo rằng hệ thống kế thừa của PoS thường dựa trên các biến thể của hạt nhân Windows XP. “Trong khi Windows POS đã sẵn sàng mở rộng để hỗ trợ cho đến năm 2019, nó vẫn còn về cơ bản là một hệ điều hành đó là mười bảy tuổi năm nay.”

Các sysadmins đang kêu gọi để giám sát các hoạt động bất thường mô hình, “Bằng việc xác định và phản ứng với những mô hình, các doanh nghiệp–cả hai chủ sở hữu nhà ga PoS và nhà cung cấp – có thể đóng cửa loại tấn công sớm hơn.”


Leave a Reply

Your email address will not be published. Required fields are marked *