Zmiešajte Chewbacca s Dexterom, získajte LusyPOS

Zmiešajte Chewbacca s Dexterom, získajte LusyPOS

Zistilo sa, že trhy Darknet predávajú LusyPOS, nový typ malwaru na mieste predaja, ktorý je svojou povahou podobný ostatným škrabkám RAM, ktoré sa používajú pri niektorých najvyšších profiloch porušenia údajov z roku 2014.

Podobný malware sa použil v prípade porušenia pravidiel v minulom roku, pri ktorom došlo k kompromisu so 40 miliónmi platobných kariet, 70 miliónmi záznamov a stovkami miliónov dolárov v súvisiacich nákladoch.

Nedávno došlo k porušeniu systému Home Depot pri podobnom útoku na kompromitáciu 56 miliónov kariet a 53 miliónov e-mailových adries. V dôsledku toho spoločnosť čelí viacerým súdnym sporom v USA a Kanade.

Chceli by byť počítačoví zločinci a takmer každý, kto má v zadnom vrecku 2 000 dolárov, si dnes môže škodlivý softvér vyzdvihnúť z webových stránok o podzemných kartách, bez akýchkoľvek otázok.

LusyPOS, ktorý je na 4 MB väčší ako iné varianty, bol odhalený reverznými inžiniermi CTBS začiatkom tohto mesiaca. Nick Hoffman a Jeremy Humble analyzovali „lusypos.exe“ potom, čo sa objavil na VirusTotal a zistil, že mal veľa podobností s dvoma ďalšími notoricky známymi rodinami škodlivého softvéru POS - Chewbacca a Dexter..

Dvojica poznamenala, že kód nového variantu obsahoval reťazce na príkaz a kontrolu, spracovanie na bielej listine a vytrvalosť kľúča registra, ktoré naznačujú, že „mohol vziať narážku z dexteru.“ Bolo tiež poznamenané, že je to škrabací kód pamäte RAM, ktorý je podobný kódu nájdenému v iných podobný malware a spôsob overenia, či sú zoškrabané údaje platné informácie o stope kreditnej karty (Luhn algoritmus, štandardný prostriedok na overenie čísel kreditných kariet).

Rovnako ako Chewbacca, aj LusyPOS používa sieť TOR, ktorá ponúka prísľub anonymity pre kontrolóry, ktorí ju môžu použiť na prístup k informáciám cez vzdialený server..

Technicky vzaté, neexistuje žiadny dobrý dôvod, prečo by POS stroj mal hovoriť s TOR, a nemalo by sa mu to dovoliť. Pokiaľ ide o dodržiavanie štandardu PCI DSS (Data Card Industry Data Security Standard), takáto komunikácia by sa mala výslovne zakázať, pričom Hoffman povedal: „väčšina auditov PCI sa pokúsi zablokovať tento druh činnosti, ale zdá sa, že v implementácii existujú diabli, ktorí umožňujú škodlivý softvér, ako je napríklad toto bude úspešné “. Preto je takáto aktivita dobrým prostriedkom na detekciu prítomnosti POS škodlivého softvéru v systéme - ak sa zistí podozrivé doménové mená, ako sú doménové mená s .onion TLD, mali by sa okamžite zablokovať..

Keď bol LusyPOS pôvodne predložený spoločnosti VirusTotal 30. novembra, zistilo sa to iba 7 z jeho 55 AV motorov (a dvaja z tých, ktorí ho označili iba kvôli použitiu TOR). Teraz, o dva týždne neskôr, ich stále zistí iba 27 z nich.

Hoffman a skromný dospeli k záveru, že „Toto je iba škrabanec na povrchu novej rodiny škodlivých kódov. Budeme zvedaví, ako sa bude v najbližších rokoch vyvíjať a sledovať jej pokrok. “.

Zmiešajte Chewbacca s Dexterom, získajte LusyPOS
admin Author
Sorry! The Author has not filled his profile.