Оповіщення системи безпеки дослідники сімейства новий PoS шкідливих програм

Computer Security News

Експерти безпеки мають просто попередив нових шкідливих програм точок (POS). В даний час вони не є певні якщо загроза знаходиться в стадії розробки, або вона вже використовується, поряд з помилки кодування в непоміченими шкідливих програм кампанії.

На думку дослідників PoS шкідливих програм відповідав за багато гучних даних порушень за минулі роки. Вони пов’язані з широке використання карток EMV (chip & PIN-код) оплати в США, що робить картку-даний час шахрайства більш важким.

На основі згаданого вище, безпеки експерти повинні завжди чекати, хакери вибирають карта не справжньому (тобто, онлайн) шахрайства, роблячи онлайн крадіжки картки набагато більше prefferable.

Це як з Forcepoint описували дослідники PoS шкідливих програм в аналізі блог вчора:

“Представляється, нові сім’ї, яка в даний час ми звертаємося ‘UD PoS’ завдяки його інтенсивного використання служби DNS на основі UDP трафіку.”

Якість кодування, не вразила експерти набагато і вони описав його як “недоліки дорогоцінний камінь”, де “недоліки” відноситься до кодування і ‘перлина’ хвилювання відкриття нових голку в копиці сіна старі шкідливих програм.

Нових шкідливих програм використовує ‘LogMeIn’ Тема камуфляж. С2 сервер є хостинг сервіс logmeln.network (з літерою ‘L’ замість ‘I’) крапельницею файлу, update.exe. Це саморозпаковується Архів 7-Zip, що містить LogmeinServicePack_5.115.22.001.exe і logmeinumon.exe. Служба компонентом шкідливі програми виконується автоматично 7-Zip на видобуток.

Ж складові послуги налаштування теки з власними силами, створення наполегливість. Після цього він передає керування другого або моніторингу, компонент, почавши logmeinumon.exe. Два компоненти мають подібну структуру і використовувати рядок же кодування техніку, щоб приховати ім’я C”сервер, імена файлів і жорстко процес імена.

Це компонент монітор, який створює п’ять різних нитки після спроби анти-АВ та віртуальну машину перевірити і або створення або завантаження існуючого “машина ID”. Машина Ідентифікатор використовується у всіх шкідливих DNS-запити. На анти–AV/ VM недоліки процесу, спроби відкриття лише один з декількох модулів.

Одного разу перший запуск, шкідливі програми генерує пакетний файл (infobat.bat) брати відбитки пальців інфікованого пристрою, з деталями, написана в локальний файл перед відправкою до C2 сервера через DNS. Фактична причина цього невідомо, хоча згідно до експертів, “карта мережі, список запущених процесів та перелік поновлень безпеки встановлені є надзвичайно цінну інформацію”.

Шкідливих програм аналізу показали відповідну обробку, щоб збирати трек 1 і 2 трек дані платіжної картки, вискоблювання пам’яті запущених процесів. У випадку будь-який трек 1/ 2 дані показали, надсиланням C2 сервера. Дослідники кажуть, що журнал також створюється і зберігається мабуть, “pur pos е стежити за те, що вже подали C2 сервером.”

Коли експерти намагався знайти додаткові зразки однієї сім’ї шкідливих програм, вони знайшли різні служби компонентів, але без відповідного компонента монітор. Компонент був ‘Intel’ теми, а не ‘LogMeIn’ Тема. Вона була скомпільована в кінці вересня 2017, два тижні до компіляції штампом 11 жовтня 2017 LogMeIn компонентів.

“Чи це знак, що автори шкідливі програми не знімалися в розгорнувши його в першу чергу, або чи це два різних кампаній не може не повністю визначені в даний час через відсутність додаткових виконуваних файлів,” , говорять автори.

Експерти попереджають, що успадкованих систем PoS часто основі варіацій ядра Windows XP. “Той час як Windows POS готовий в подовжена підтримка до 2019 січня, це все ще принципово операційної системи, яка є сімнадцять років Цьогоріч.”

У системних адміністраторів настійно рекомендується контролювати невластиву діяльність візерунки, “Шляхом виявлення та реагувати на ці моделі бізнес – PoS терміналу власників і постачальників – можуть закрити такого роду нападу рано.”


Leave a Reply

Your email address will not be published. Required fields are marked *