Chewbacca’yı Dexter ile karıştırın, LusyPOS’u edinin
Darknet pazarları, 2014’ün en yüksek profil veri ihlallerinde kullanılan diğer RAM kazıyıcılara benzer yeni bir satış noktası kötü amaçlı yazılım türü olan LusyPOS’u sattı..
Geçen yıl 40 milyon ödeme kartı, 70 milyon kayıt ve yüz milyonlarca dolarlık ilişkili maliyetlerden ödün veren Hedef ihlallerinde de benzer kötü amaçlı yazılımlar kullanıldı.
Daha yakın bir tarihte, Home Depot ihlali, benzer bir saldırıda 56 milyon kartın yanı sıra 53 milyon e-posta adresinin de ele geçirildiğini gördü. Şirket bunun sonucunda ABD ve Kanada’da birden fazla dava ile karşı karşıya.
Siber suçlular olacak ve arka cebinde 2.000 dolar olan herkes, bugün kötü amaçlı yazılımları yeraltı tarama web sitelerinden alabilir, soru sorulmadı.
4MB’de diğer varyantlardan daha büyük olan LusyPOS, bu ayın başlarında CTBS ters mühendisleri tarafından ortaya çıkarıldı. Nick Hoffman ve Jeremy Humble, VirusTotal’da göründükten sonra “lusypos.exe” yi analiz ettiler ve diğer iki kötü amaçlı POS kötü amaçlı yazılım ailesiyle (Chewbacca ve Dexter) birçok benzerliği olduğunu öğrendiler.
Parite, yeni varyant kodunun, “dexter’dan bir ipucu almış olabileceğini” gösteren komut ve kontrol, beyaz liste işleme ve kayıt defteri anahtarı kalıcılığı için dizeler içerdiğini kaydetti. Ayrıca RAM kazıma kodunun diğer benzer kötü amaçlı yazılımlar ve kazınan verilerin geçerli kredi kartı takip bilgileri olduğunu doğrulama yöntemi (kredi kartı numaralarını doğrulamanın standart aracı olan Luhn algoritması).
Chewbacca gibi, LusyPOS da uzak bir sunucu aracılığıyla bilgiye erişmek için kullanabilen kontrolörlere anonimlik vaat eden TOR ağını kullanır..
Teknik olarak konuşursak, bir POS makinesinin TOR ile konuşması için iyi bir neden yoktur ve buna izin verilmemelidir. Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) uyumluluğu açısından, Hoffman ile bu tür iletişim açıkça yasaklanmalıdır: “Çoğu PCI denetimi bu tür etkinlikleri kilitlemeye çalışacaktır, ancak uygulamada kötü amaçlı yazılımlara izin veren şeytanlar var gibi görünüyor bu başarılı olmak için ”. Bu nedenle, bu tür bir etkinlik, bir sistemde POS kötü amaçlı yazılımlarının varlığını saptamanın iyi bir yoludur – .onion TLD’ye sahip olanlar gibi şüpheli alan adları tespit edilirse hemen engellenmelidir.
LusyPOS 30 Kasım’da ilk olarak VirusTotal’a gönderildiğinde, sadece 55 AV motorundan 7’si tarafından tespit edildi (ve bunlardan ikisi sadece TOR kullanımı nedeniyle işaretledi). Şimdi, iki hafta sonra, hala sadece 27 tanesi tarafından tespit ediliyor.
Hoffman ve mütevazi, “Bu yeni bir kötü amaçlı yazılım ailesinin yüzeyinde sadece bir çizik. Önümüzdeki birkaç yıl içinde geliştiğini ve ilerlemesini izlediğini merak edeceğiz ”dedi..