ผสมชิวแบ็กก้ากับเดกซ์เตอร์รับ LusyPOS

ผสมชิวแบ็กก้ากับเดกซ์เตอร์รับ LusyPOS

ตลาด Darknet พบว่ามีการขาย LusyPOS ซึ่งเป็นมัลแวร์ประเภทจุดขายรูปแบบใหม่ซึ่งมีลักษณะคล้ายกับเครื่องขูด RAM อื่น ๆ ที่ใช้ในการฝ่าฝืนข้อมูลโปรไฟล์ที่สูงที่สุดของปี 2014.

มัลแวร์ที่คล้ายกันถูกใช้ในการละเมิดเป้าหมายเมื่อปีที่แล้วซึ่งเห็นว่ามีการประนีประนอมบัตรชำระเงิน 40 ล้านใบ 70 ล้านรายการและค่าใช้จ่ายที่เกี่ยวข้องหลายร้อยล้านดอลลาร์.

เมื่อไม่นานมานี้ Home Depot พบว่ามีการโจมตีการ์ด 56 ล้านใบและที่อยู่อีเมล 53 ล้านที่อยู่ในการโจมตีที่คล้ายกัน บริษัท เผชิญกับการฟ้องร้องหลายคดีในสหรัฐอเมริกาและแคนาดา.

จะเป็นอาชญากรไซเบอร์และเพียงแค่คนอื่น ๆ ที่มีเงิน 2,000 เหรียญในกระเป๋าหลังของพวกเขาสามารถเลือกมัลแวร์ได้จากเว็บไซต์ใต้ดินในวันนี้ไม่มีคำถามที่ถาม.

LusyPOS ซึ่งขนาด 4MB นั้นใหญ่กว่าสายพันธุ์อื่นถูกค้นพบโดยวิศวกรย้อนกลับ CTBS เมื่อต้นเดือนนี้ Nick Hoffman และ Jeremy Humble วิเคราะห์“ lusypos.exe” หลังจากที่ปรากฏบน VirusTotal และได้เรียนรู้ว่ามันมีความคล้ายคลึงกันมากกับตระกูลมัลแวร์ POS อีกสองครอบครัว - Chewbacca และ Dexter.

ทั้งคู่ตั้งข้อสังเกตว่ารหัสของตัวแปรใหม่มีสตริงสำหรับคำสั่งและการควบคุมการประมวลผลรายการที่อนุญาตและการคงอยู่ของคีย์รีจิสทรีที่แนะนำว่า“ อาจใช้คิวจาก dexter” นอกจากนี้ยังมีการบันทึกไว้ว่า RAM ขูดรหัสคล้ายกับที่พบในอื่น ๆ มัลแวร์ที่คล้ายกันและวิธีการตรวจสอบว่าข้อมูลที่ถูกคัดลอกนั้นเป็นข้อมูลการติดตามบัตรเครดิตที่ถูกต้อง (อัลกอริทึม Luhn ซึ่งเป็นวิธีมาตรฐานในการยืนยันหมายเลขบัตรเครดิต).

เช่นเดียวกับชิวแบ็กก้า LusyPOS ยังใช้เครือข่าย TOR ซึ่งเสนอสัญญาว่าจะไม่เปิดเผยชื่อแก่ผู้ควบคุมที่สามารถใช้เพื่อเข้าถึงข้อมูลผ่านเซิร์ฟเวอร์ระยะไกล.

เทคนิคการพูดไม่มีเหตุผลที่ดีที่เครื่อง POS จะคุยกับ TOR และไม่ควรอนุญาต ในแง่ของการปฏิบัติตามมาตรฐานความปลอดภัยข้อมูลมาตรฐานอุตสาหกรรม PCI (PCI DSS) การสื่อสารดังกล่าวควรถูกห้ามอย่างชัดแจ้งกับ Hoffman โดยกล่าวว่า "การตรวจสอบ PCI ส่วนใหญ่จะพยายามล็อคกิจกรรมประเภทนี้ลง แต่ดูเหมือนจะมีปีศาจในการใช้งาน สิ่งนี้จะประสบความสำเร็จ” ดังนั้นกิจกรรมดังกล่าวเป็นวิธีที่ดีในการตรวจจับการมีอยู่ของมัลแวร์ POS ในระบบ - หากชื่อโดเมนที่น่าสงสัยเช่นที่มี. onion TLD ถูกพบว่าควรถูกบล็อกทันที.

เมื่อ LusyPOS เริ่มส่งไปที่ VirusTotal เมื่อวันที่ 30 พฤศจิกายนมันถูกตรวจพบโดย 7 จาก 55 AV engine เท่านั้น (และสองตัวนั้นถูกตั้งค่าสถานะเนื่องจากการใช้ TOR) ตอนนี้สองสัปดาห์ต่อมาก็ยังถูกตรวจพบโดย 27 คนเท่านั้น.

ฮอฟแมนและเจียมเนื้อเจียมตัวสรุปว่า“ นี่เป็นเพียงรอยขีดข่วนบนพื้นผิวของตระกูลมัลแวร์ใหม่ เราอยากรู้อยากเห็นว่ามันมีวิวัฒนาการในอีกไม่กี่ปีข้างหน้าและติดตามความก้าวหน้าของมัน”.

ผสมชิวแบ็กก้ากับเดกซ์เตอร์รับ LusyPOS
admin Author
Sorry! The Author has not filled his profile.