Смесете Chewbacca с Dexter, Вземете LusyPOS

Смесете Chewbacca с Dexter, Вземете LusyPOS

Намерени са пазарите на Darknet, които продават LusyPOS, нов тип зловреден софтуер за продажба, който е подобен на този на други скрепери за RAM, използвани при някои от най-високите нарушения на данните за 2014 г..

Подобен злонамерен софтуер беше използван при нарушението на Target миналата година, което доведе до компромиса от 40 милиона платежни карти, 70 милиона записа и стотици милиони долари свързани разходи.

Съвсем наскоро нарушението Home Depot видя компромиса с 56 милиона карти, както и 53 милиона имейл адреси при подобна атака. В резултат на това компанията е изправена пред множество дела в САЩ и Канада.

Може би киберпрестъпниците и почти всеки друг, който има 2000 долара в задния си джоб, може да вземе зловредния софтуер от уебсайтове за подземни карти днес, без зададени въпроси.

LusyPOS, който при 4MB е по-голям от другите варианти, беше открит от реверсивни инженери CTBS по-рано този месец. Ник Хофман и Джереми Хъмбъл анализираха „lusypos.exe“, след като се появи на VirusTotal и научиха, че има много прилики с други две известни семейства на POS злонамерен софтуер - Chewbacca и Dexter.

Двойката отбеляза, че кодът на новия вариант съдържа низове за команда и контрол, обработка на бели списъци и постоянни ключове на системния регистър, които го предполагат, че „може да е взел сигнал от dexter.“ Отбеляза се също, че кодът за изтриване на RAM е подобен на този в други подобен зловреден софтуер и методът за потвърждаване на това, че изтритите данни са валидна информация за записа на кредитна карта (алгоритъмът на Luhn, стандартното средство за проверка на номера на кредитни карти).

Подобно на Chewbacca, LusyPOS също използва TOR мрежата, която предлага обещание за анонимност на контролерите, които могат да я използват за достъп до информация чрез отдалечен сървър.

Технически погледнато, няма основателна POS машина да разговаря с TOR и не трябва да се допуска. По отношение на спазването на стандарта за защита на данните за индустрията на разплащателни карти (PCI DSS), подобна комуникация трябва да бъде изрично забранена, като Хофман казва, че „повечето PCI одити ще се опитат да блокират този вид дейност, но изглежда има демони в прилагането, които позволяват злонамерен софтуер като това да бъде успешно ”. Следователно подобна дейност е добро средство за откриване на наличие на POS зловреден софтуер в системата - ако се забележат подозрителни имена на домейни, като тези с .onion TLD, те трябва да бъдат блокирани незабавно.

Когато LusyPOS първоначално беше представен на VirusTotal на 30 ноември, той бе засечен само от 7 от 55-те AV AV двигателя (и два от тези, които бяха поставени под знака само заради използването на TOR). Сега, две седмици по-късно, тя все още е открита само от 27 от тях.

Хофман и смирен заключиха, че „Това е само драскотина в повърхността на нова фамилия зловредни програми. Ще бъдем любопитни да гледаме как се развива през следващите няколко години и да проследяваме нейния напредък “.

Смесете Chewbacca с Dexter, Вземете LusyPOS
admin Author
Sorry! The Author has not filled his profile.