Säkerhet forskare avisering av ny PoS Malware familj

Computer Security News

Säkerhetsexperter har bara varnas av en helt ny Point of Sale (POS) malware. För närvarande, är de inte säkra om hotet är under utveckling eller om det redan används, tillsammans med kodningsfel, i en oupptäckt skadlig kod kampanj.

Enligt forskarna har PoS malware varit ansvarig för många uppmärksammade dataintrång under de senaste åren. De är relaterade till den ökande användningen av EMV (chip & pin) betalkort i USA vilket gör kortet-närvarande bedrägerier svårare.

Baserat på ovan nämnda, säkerhetsexperter har alltid väntat att hackare skulle välja kort-inte-nuet (det vill säga, online) bedrägeri, att göra online stöld av kortuppgifter mycket mer prefferable.

Detta är hur forskare från Forcepoint beskrivs PoS malware i en blogg-analys idag:

”Detta verkar vara en ny familj som vi för närvarande kallar ‘UD PoS’ på grund av sin tunga användning av UDP-baserade DNS-trafik”.

Kvaliteten på kodningen imponera inte experterna mycket och de beskrev den som ‘en bristfällig pärla’, där ‘bristfällig’ refererar till kodning och ‘pärla’ till spänningen i att upptäcka en ny nål i höstacken av gamla malware.

Den nya malware använder ett ‘LogMeIn’ tema som kamouflage. C2 servern är värd för tjänsten-logmeln.network (med en ‘L’ snarare än ett ‘I’) dropper filen, update.exe. Detta är en självextraherande 7-Zip-arkiv som innehåller LogmeinServicePack_5.115.22.001.exe och logmeinumon.exe. Serviceandelen av malware körs automatiskt av 7-Zip på extraktion.

Samma service komponent är att inrätta en mapp av sin egen, upprättande av uthållighet. Efter det över kontrollen på andra, eller övervakning, att genom att lansera logmeinumon.exe. De två komponenterna har en liknande struktur, och Använd samma sträng kodning teknik för att dölja namnet på C ”server, filnamn och hårdkodade process namn.

Det är komponenten monitor som skapar fem olika trådar efter försöker en anti AV och virtuell dator kontrollera och antingen skapa eller läsa in en befintlig ‘maskin ID’. Maskin ID används i alla malware’s DNS-frågor. Den anti -AV/ VM processen är felaktig, försök att öppna bara en av flera moduler.

En gång den första körningen, malware genererar en kommandofil (infobat.bat) för fingerprint infekterade enheten, med detaljer som skrivs till en lokal fil innan den skickas till C2 servern via DNS. Den verkliga orsaken till detta är okänd, men enligt de experter, ”network map, lista över processer som körs och listan över installerade uppdateringar är mycket värdefull information”.

Malware analysen visade en process som utformats för att samla spår 1 och spår 2 betalning kortdata genom skrapning minnet av processer som körs. I fall alla spår 1/ 2 finns data skickas till C2-servern. Forskarna säger att en logg skapas också och lagras förmodligen ”för pur pos e med att hålla koll på vad som redan har lämnats till C2 servern”.

När experterna försökte hitta ytterligare prover av samma malware familj, fann de en annan tjänst komponenten men utan en motsvarande monitor-komponent. Komponenten hade en ‘Intel’ tema snarare än ett ‘LogMeIn’ tema. Den sammanställdes i slutet av September 2017, två veckor innan sammanställning stämpel 11 oktober 2017 för LogMeIn komponenter.

”Om detta är ett tecken på att författarna av malware lyckades inte distribuera det först eller om dessa är två olika kampanjer kan inte vara fullt beslutsam vid denna tid på grund av ytterligare executables”, författarna säger.

Experterna varnar för att äldre PoS system bygger ofta på variationer av kärnan i Windows XP. ”När Windows POS redo är utökat stöd till januari 2019, det fortfarande grunden är ett operativsystem som är sjutton år gammal år”.

Systemadministratörer uppmanas att övervaka ovanlig aktivitetsmönster, ”genom att identifiera och reagera på dessa mönster, företag–både PoS terminalägarna och leverantörer–kan stänga ner denna typ av attack förr”.


Leave a Reply

Your email address will not be published. Required fields are marked *