Mix Chewbacca met Dexter, krijg LusyPOS


Er is vastgesteld dat Darknet-markten LusyPOS verkopen, een nieuw type point-of-sale malware dat vergelijkbaar is met andere RAM-scrapers die worden gebruikt in enkele van de meest bekende datalekken van 2014.

Vergelijkbare malware werd vorig jaar gebruikt in de Target-inbreuk, waarbij 40 miljoen betaalkaarten, 70 miljoen records en honderden miljoenen dollars aan bijbehorende kosten in gevaar kwamen.

Meer recent zag de inbreuk in het Home Depot een compromis tussen 56 miljoen kaarten en 53 miljoen e-mailadressen in een vergelijkbare aanval. Het bedrijf wordt hierdoor geconfronteerd met meerdere rechtszaken in de VS en Canada.

Zogenaamde cybercriminelen, en zowat iedereen met $ 2.000 op zak, kan vandaag de malware ophalen van ondergrondse kaartwebsites, geen vragen gesteld.

LusyPOS, dat bij 4MB groter is dan andere varianten, werd eerder deze maand ontdekt door CTBS reverse engineers. Nick Hoffman en Jeremy Humble analyseerden ‘lusypos.exe’ nadat het op VirusTotal verscheen en ontdekten dat het veel overeenkomsten had met twee andere beruchte POS-malwarefamilies – Chewbacca en Dexter.

Het tweetal merkte op dat de code van de nieuwe variant tekenreeksen bevat voor commando en controle, witte lijstverwerking en persistentie van de registersleutel die suggereren dat het “mogelijk een teken heeft gekregen van dexter.” Er werd ook opgemerkt dat de RAM-schraapcode vergelijkbaar is met die in andere vergelijkbare malware en de methode om te controleren of de geschraapte gegevens geldige creditcardtrackinformatie zijn (het Luhn-algoritme, de standaardmethode voor het verifiëren van creditcardnummers).

Net als Chewbacca gebruikt LusyPOS ook het TOR-netwerk dat de belofte van anonimiteit biedt aan de controllers die het kunnen gebruiken om toegang te krijgen tot informatie via een externe server.

Technisch gezien is er geen goede reden voor een POS-machine om met TOR te praten, en dat zou ook niet mogen. Wat betreft de naleving van de Payment Card Industry Data Security Standard (PCI DSS), moet dergelijke communicatie uitdrukkelijk worden verboden, waarbij Hoffman zegt dat “de meeste PCI-audits zullen proberen dit soort activiteiten te blokkeren, maar er lijken duivels in de implementatie te zijn die malware zoals dit om succesvol te zijn ”. Daarom is dergelijke activiteit een goed middel om de aanwezigheid van POS-malware op een systeem te detecteren – als verdachte domeinnamen, zoals die met een .onion-TLD, worden opgemerkt, moeten deze onmiddellijk worden geblokkeerd.

Toen LusyPOS aanvankelijk op 30 november bij VirusTotal werd ingediend, werd het alleen gedetecteerd door 7 van zijn 55 AV-motoren (en twee daarvan markeerden het alleen vanwege het gebruik van TOR). Nu, twee weken later, wordt het nog steeds slechts door 27 van hen gedetecteerd.

Hoffman en nederig concludeerden dat “dit slechts een kras is in het oppervlak van een nieuwe malwarefamilie. We zullen nieuwsgierig zijn om het de komende jaren te zien evolueren en de voortgang te volgen “.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map