Campur Chewbacca dengan Dexter, Get LusyPOS

[ware_item id=33][/ware_item]

Campur Chewbacca dengan Dexter, Get LusyPOS


Pasar Darknet telah ditemukan menjual LusyPOS, jenis baru malware titik-penjualan yang mirip dengan pencakar RAM lain yang digunakan dalam beberapa pelanggaran data profil tertinggi tahun 2014.

Malware serupa digunakan dalam pelanggaran Target tahun lalu yang menyebabkan kompromi 40 juta kartu pembayaran, 70 juta catatan, dan ratusan juta dolar dalam biaya terkait.

Baru-baru ini, pelanggaran Home Depot melihat kompromi dari 56 juta kartu serta 53 juta alamat email dalam serangan yang sama. Perusahaan menghadapi beberapa tuntutan hukum di AS dan Kanada sebagai hasilnya.

Calon penjahat dunia maya, dan hampir semua orang lain dengan $ 2.000 di saku belakang mereka, dapat mengambil malware dari situs web carding bawah tanah hari ini, tanpa pertanyaan.

LusyPOS, yang pada 4MB lebih besar dari varian lain, ditemukan oleh CTBS reverse engineer awal bulan ini. Nick Hoffman dan Jeremy Humble menganalisis "lusypos.exe" setelah muncul di VirusTotal dan mengetahui bahwa ia memiliki banyak kesamaan dengan dua keluarga malware POS terkenal lainnya - Chewbacca dan Dexter.

Pasangan ini mencatat bahwa kode varian baru berisi string untuk perintah dan kontrol, pemrosesan daftar putih dan ketekunan kunci registri yang menyarankannya "mungkin telah mengambil petunjuk dari dexter." malware serupa dan metode verifikasi bahwa data yang dikikis adalah informasi lacak kartu kredit yang valid (algoritma Luhn, sarana standar untuk memverifikasi nomor kartu kredit).

Seperti Chewbacca, LusyPOS juga menggunakan jaringan TOR yang menawarkan janji anonimitas kepada pengontrol yang dapat menggunakannya untuk mengakses informasi melalui server jauh.

Secara teknis, tidak ada alasan yang baik untuk mesin POS untuk berbicara dengan TOR, dan juga tidak boleh. Dalam hal kepatuhan Standar Keamanan Data Industri Kartu (PCI DSS), komunikasi semacam itu harus secara tegas dilarang dengan Hoffman yang mengatakan “sebagian besar audit PCI akan berusaha untuk mengunci kegiatan semacam ini tetapi tampaknya ada setan dalam implementasi yang memungkinkan malware seperti ini untuk menjadi sukses ”. Oleh karena itu aktivitas semacam itu adalah cara yang baik untuk mendeteksi keberadaan malware POS pada suatu sistem - jika nama domain yang mencurigakan, seperti yang dengan TLD .onion, terlihat mereka harus diblokir segera.

Ketika LusyPOS pada awalnya diserahkan ke VirusTotal pada 30 November, itu hanya terdeteksi oleh 7 dari 55 mesin AV-nya (dan dua dari mereka menandai itu hanya karena penggunaan TOR). Sekarang, dua minggu kemudian, masih hanya terdeteksi oleh 27 dari mereka.

Hoffman dan rendah hati menyimpulkan bahwa “Ini hanyalah goresan di permukaan keluarga malware baru. Kami akan penasaran melihatnya berkembang selama beberapa tahun ke depan dan melacak kemajuannya ”.

Campur Chewbacca dengan Dexter, Get LusyPOS
admin Author
Sorry! The Author has not filled his profile.