Keamanan peneliti waspada dari keluarga Malware PoS baru

Computer Security News

Pakar keamanan telah hanya diberitahu baru malware Point of Sale (POS). Saat ini, mereka tidak tertentu jika ancaman dalam pengembangan, atau sudah digunakan, bersama kesalahan pengkodean, dalam kampanye malware terdeteksi.

Menurut peneliti, malware PoS telah bertanggung jawab untuk banyak profil tinggi data pelanggaran selama tahun. Mereka berhubungan dengan meningkatnya penggunaan EMV (chip & pin) kartu pembayaran di Amerika Serikat yang membuat penipuan kartu-sekarang lebih sulit.

Berdasarkan yang disebutkan di atas, pakar keamanan selalu diharapkan bahwa hacker akan memilih kartu-tidak-sekarang (yaitu, online) penipuan, membuat pencurian online rincian kartu lebih prefferable.

Ini adalah bagaimana para peneliti dari Forcepoint menggambarkan malware PoS dalam analisis blog kemarin:

“Hal ini tampaknya menjadi keluarga baru yang kita saat ini Panggil ‘UD PoS’ karena penggunaan berat lalu lintas DNS berbasis UDP.”

Kualitas pengkodean tidak terkesan para ahli banyak dan mereka digambarkan sebagai ‘Cacat permata’, mana ‘Cacat’ mengacu pada pengkodean dan ‘permata’ untuk kegembiraan menemukan baru jarum di tumpukan jerami tua malware.

Malware baru menggunakan tema ‘LogMeIn’ sebagai kamuflase. C2 server adalah layanan-logmeln.network (dengan ‘L’ bukan ‘aku’) hosting file penetes, update.exe. Ini adalah arsip yang self-extracting 7-Zip yang berisi LogmeinServicePack_5.115.22.001.exe dan logmeinumon.exe. Komponen Layanan malware dijalankan secara otomatis oleh 7-Zip pada ekstraksi.

Komponen layanan yang sama adalah menyiapkan sebuah map ketekunan sendiri, membangun. Setelah itu, melewati kontrol ke komponen kedua, atau pemantauan, dengan meluncurkan logmeinumon.exe. Dua komponen memiliki struktur serupa, dan menggunakan string yang sama pengkodean teknik untuk menyembunyikan nama c”server, nama file dan nama proses keras-kode.

Itu merupakan komponen monitor yang menciptakan lima kain yang berbeda setelah mencoba AV anti dan mesin virtual check dan menciptakan baik atau memuat ID yang ada’ mesin’. ID mesin yang digunakan dalam permintaan DNS semua malware. Anti VM -AV/ proses Cacat, mencoba membuka hanya salah satu dari beberapa modul.

Setelah dijalankan pertama, malware ini menghasilkan file batch (infobat.bat) untuk sidik jari perangkat terinfeksi, dengan rincian yang ditulis ke file lokal sebelum dikirim ke server C2 melalui DNS. Alasan sebenarnya ini tidak diketahui, meskipun menurut para ahli, “peta jaringan, daftar menjalankan proses dan daftar pembaruan keamanan diinstal adalah informasi yang sangat berharga.”

Analisis malware mengungkapkan proses yang dirancang untuk mengumpulkan data kartu pembayaran Track 1 dan 2 trek oleh gesekan memori menjalankan proses. Dalam kasus apapun lagu 1/ 2 data ditemukan, dikirim ke C2 server. Para peneliti mengatakan bahwa log juga dibuat dan disimpan agaknya, “untuk pur pos e dari menjaga melacak yang apa sudah diserahkan ke C2 server.”

Ketika para ahli mencoba untuk menemukan contoh tambahan keluarga malware yang sama, mereka menemukan layanan yang berbeda komponen tetapi tanpa komponen monitor sesuai. Komponen ini memiliki tema ‘Intel’ daripada ‘LogMeIn’ tema. Ia telah disusun pada akhir September 2017, dua minggu sebelum stempel kompilasi 11 Oktober 2017 untuk komponen LogMeIn.

“Apakah ini adalah tanda bahwa penulis perangkat perusak yang tidak berhasil dalam penggelaran itu pada awalnya atau apakah ini adalah dua berbeda kampanye tidak dapat sepenuhnya ditentukan pada saat ini karena kurangnya tambahan executable,” penulis mengatakan.

Para pakar memperingatkan bahwa sistem PoS warisan sering didasarkan pada variasi dari kernel Windows XP. “Sementara Windows POS siap dalam dukungan diperpanjang sampai Januari 2019, hal ini masih pada dasarnya sebuah sistem operasi yang tujuh belas tahun tahun ini.”

Sysadmins didesak untuk memantau aktivitas yang tidak biasa pola, “Dengan mengidentifikasi dan bereaksi terhadap pola-pola ini, bisnis – PoS terminal pemilik dan pemasok – dapat menutup semacam ini serangan cepat.”


Leave a Reply

Your email address will not be published. Required fields are marked *