Yeni PoS Malware ailesinin güvenlik araştırmacılar uyarısı

Computer Security News

Güvenlik uzmanları sadece yeni bir nokta-in satış (POS) malware uyarı. Şu anda, onlar tehdit geliştirilmekte olan veya bu zaten, bir fark edilmeden malware kampanyadaki kodlama hataları yanında kullanılır belli değildir.

Araştırmacılara göre PoS malware geçmiş yıllarda çok yüksek profilli veri ihlalleri için sorumlu olmuştur. Onlar EMV (chip & PIN) ödeme kartları kartı-günümüz dolandırıcılık daha zor hale getirir ABD artan kullanımı ilgili.

Yukarıda belirtilen üzerinde bağlı olarak, güvenlik uzmanları her zaman hackerlar kartı-değil-günümüz seçmen (yani, online)-si olmak beklemek çok daha fazla prefferable kart bilgilerini çevrimiçi hırsızlık yapmak dolandırıcılık.

Bu nasıl Forcepoint araştırmacıları bir blog analiz PoS malware dün açıklanan:

“Bu hangi biz şu anda ‘UD PoS’ DNS UDP tabanlı trafik ağır kullanımı sayesinde Aradığınız yeni bir aile gibi görünüyor.”

Kodlama kalite uzmanlar çok etkilemek değil ve onlar ‘nerede ‘kusurlu’ kodlama için ifade eder ve ‘gem’ bir kusurlu mücevher ‘, eski malware samanlıkta yeni keşfetmek heyecan nitelendirdi.

Yeni malware ‘LogMeIn’ Tema kamuflaj kullanır. Hizmet-logmeln.network (ile bir ‘L’ yerine ‘ı’) barındırma C2 sunucusudur damlalık dosya, update.exe. Bu LogmeinServicePack_5.115.22.001.exe ve logmeinumon.exe içeren bir kendi kendine ayıklanan bir 7-Zip arşividir. Kötü amaçlı yazılım hizmeti bileşeni otomatik olarak çıkarma üzerinde 7-Zip tarafından çalıştırılır.

Aynı hizmeti bileşeni kurulması, kendi, kalıcılık bir klasör kuruyor. Bundan sonra denetim için ikinci veya izleme, bileşen logmeinumon.exe başlatarak geçer. İki bileşen benzer bir yapıya sahiptir ve C adını gizlemek için kodlama tekniği aynı dizeyi kullanın”sunucu, dosya adları ve sabit kodlanmış işlem adları.

Bu bir anti-AV ve sanal makine kontrol ve her iki oluşturma veya varolan bir ‘makine ID’ yükleme sonra beş farklı iş parçacığı oluşturur monitör bileşendir. Makine kimliği malware’s DNS sorgularında kullanılır. -AV/ VM anti işlemi, yalnızca birkaç modülü açmak çalışırken hatalı olduğunu.

Bir kez ilk koşmak, belgili tanımlık malware enfekte cihaz parmak izi için bir toplu iş dosyası (infobat.bat) bir yerel DNS üzerinden C2 sunucuya gönderilmeden önce yazılıp detayları ile oluşturur. Göre rağmen bunun gerçek nedeni bilinmeyen, uzmanlar, “Ağ Haritası, çalışan işlemlerin listesi ve yüklü güvenlik güncelleştirmelerinin listesi çok değerli bilgi.”

Malware çözümleme çalışan işlemlerin bellek kazıma parça 1 ve Track 2 ödeme kartı verilerini toplamak üzere tasarlanmış bir süreç ortaya. Herhangi bir parça 1/ dibi 2 veri bulundu, C2 sunucuya gönderilir. Araştırmacılar da oluşturulur ve muhtemelen, “pur pos e. koruma iz-in ne zaten C2 sunucuya gönderildi, için” depolanan bir günlük diyorum

Uzmanlar aynı malware aile ek örnekler bulmak çalışırken, farklı bir hizmet bileşen ama karşılık gelen bir izleyici bileşeni buldular. Bileşen ‘LogMeIn’ Tema yerine bir ‘Akıl’ tema vardı. Bu Eylül 2017, LogMeIn bileşenleri için 11 Ekim 2017 derleme damga önce iki hafta sonundaki derlenmiş.

“Olup bu malware yazarlarının bu ilk başta dağıtmak değil başarılı olduğunu veya bunlar iki farklı olup kampanyalar tam olarak belirlenen ek yürütülebilir dosyaları, eksikliği nedeniyle şu anda olamaz bir işaretidir” yazarlar söylüyor.

Uzmanlar eski PoS sistemler genellikle Windows XP çekirdek varyasyonlarında temel alan uyarmak. “Ocak 2019 kadar genişletilmiş destek Windows POS hazır mı, hala temelde bir iş sistem hangi on yedi yaşında iken bu yıl.”

Sistem olağan dışı etkinlik modellerini, “Belirlenmesi ve bu kalıpları için tepki işletmeler–PoS terminal sahipleri ve tedarikçiler… saldırı daha önce bu tür kapatabilirsiniz.” izlemek için çağırdı vardır


Leave a Reply

Your email address will not be published. Required fields are marked *