Помешајте Цхевбацца са Дектером, набавите ЛусиПОС

Помешајте Цхевбацца са Дектером, набавите ЛусиПОС

Пронађена су тржишта на Даркнет-у која продају ЛусиПОС, нову врсту злоћудног софтвера на продајном месту, који је по природи сличан осталим РАМ-овима који се користе у неким од највећих кршења података у 2014. години..

Сличан злонамјерни софтвер коришћен је током повреде Таргет прошле године, која је донела компромис од 40 милиона платних картица, 70 милиона записа и стотина милиона долара повезаних трошкова.

У новије време, кршење Хоме Депота доживело је компромис 56 милиона картица као и 53 милиона адреса е-поште у сличном нападу. Због тога се компанија суочава са више тужби у САД-у и Канади.

Будући кибернетички криминалци, и скоро свако други са 2000 долара у задњем џепу, данас може подићи злонамјерни софтвер са подземних веб картица, нема питања.

ЛусиПОС, који је на 4МБ већи од осталих варијанти, открили су ЦТБС-ови инжењери раније овог месеца. Ницк Хоффман и Јереми Хумбле анализирали су „лусипос.еке“ након што се појавио на ВирусТотал и сазнали да има много сличности са још две злогласне породице ПОС малваре-а - Цхевбацца и Дектер.

Пар је приметио да код нове варијанте садржи низове за команду и контролу, обраду беле листе и постојаност кључа регистра који сугеришу да је „можда узео знак дектера.“ Такође је примећено да је код за брисање РАМ-а сличан ономе који се налази у другим сличан злонамерни софтвер и метода провере да ли су избрисани подаци валидне информације о запису кредитне картице (алгоритам Лухн, стандардно средство за верификацију бројева кредитних картица).

Као и Цхевбацца, ЛусиПОС такође користи ТОР мрежу која пружа обећање о анонимности контролора који могу да га користе за приступ информацијама преко удаљеног сервера.

Технички гледано, нема доброг разлога да ПОС машина разговара са ТОР-ом, нити би то требало дозволити. У погледу поштовања стандарда заштите података платне картице (ПЦИ ДСС), таква комуникација треба изричито забранити Хоффманом каже да „већина ПЦИ ревизија ће покушати да закључи ову врсту активности, али изгледа да постоје делови у имплементацији који омогућавају злонамјерни софтвер као што је ово ће бити успешно “. Стога је таква активност добро средство за откривање присутности ПОС злонамјерног софтвера у систему - ако се уоче сумњива имена домена, попут оних са .онион ТЛД, одмах би их требало блокирати.

Када је 30. новембра ЛусиПОС поднесен ВирусТотал-у, открило га је само 7 од 55 АВ-ових мотора (и два од њих која су га означила само због употребе ТОР-а). Сада, две недеље касније, још увек их је откривено само 27 особа.

Хоффман и скромни су закључили да је „ово само огреботина на површини нове породице злонамерних софтвера. Биће нам занимљиво да гледамо како се развија у наредних пар година и пратимо његов напредак “.

Помешајте Цхевбацца са Дектером, набавите ЛусиПОС
admin Author
Sorry! The Author has not filled his profile.