Campurkan Chewbacca dengan Dexter, Dapatkan LusyPOS

Pasaran Darknet telah dijumpai menjual LusyPOS, satu jenis malware jualan jenis baru yang serupa dengan pengikis RAM lain yang digunakan dalam beberapa pelanggaran data profil tertinggi pada tahun 2014.

Malware serupa digunakan dalam pelanggaran Sasaran tahun lepas yang menyaksikan kompromi sebanyak 40 juta kad pembayaran, 70 juta rekod dan ratusan juta dolar dalam kos berkaitan.

Baru-baru ini, pelanggaran Home Depot menyaksikan kompromi sebanyak 56 juta kad serta 53 juta alamat e-mel dalam serangan yang sama. Syarikat menghadapi banyak tuntutan undang-undang di Amerika Syarikat dan Kanada akibatnya.

Akan menjadi penjenayah siber, dan hanya orang lain yang mempunyai $ 2,000 di poket belakang mereka, boleh memilih malware itu dari laman web carding bawah tanah hari ini, tidak ada soalan yang ditanya.

LusyPOS, yang pada 4MB adalah lebih besar daripada varian lain, telah ditemui oleh jurutera CTBS sebaliknya awal bulan ini. Nick Hoffman dan Jeremy Humble menganalisis “lusypos.exe” selepas ia muncul di VirusTotal dan mengetahui bahawa ia mempunyai banyak persamaan dengan dua keluarga malware POS yang terkenal – Chewbacca dan Dexter.

Pasangan ini menyatakan bahawa kod varian baru itu mengandungi rentetan untuk perintah dan kawalan, pemprosesan putih putih dan keteguhan kunci pendaftar yang mencadangkan ia “mungkin telah mengambil isyarat dari dexter.” Ia juga menyatakan bahawa kod pengikisan RAM sama dengan yang terdapat di lain-lain malware serupa dan kaedah mengesahkan bahawa data yang dikikis adalah maklumat trek kad kredit yang sah (algoritma Luhn, cara standard untuk mengesahkan nombor kad kredit).

Seperti Chewbacca, LusyPOS juga menggunakan rangkaian TOR yang menawarkan janji tanpa nama kepada pengawal yang boleh menggunakannya untuk mengakses maklumat melalui pelayan jarak jauh.

Secara teknikal, tidak ada sebab yang baik bagi mesin POS untuk bercakap dengan TOR, dan juga tidak dibenarkan. Dari segi pematuhan Standard Keamanan Data Industri Kad Pembayaran (PCI DSS), komunikasi semacam itu harus dilarang dengan Hoffman dengan mengatakan “kebanyakan audit PCI akan cuba mengunci kegiatan semacam ini tetapi tampaknya ada dajal dalam pelaksanaan yang memungkinkan malware seperti ini untuk berjaya “. Oleh itu, aktiviti sedemikian adalah satu cara yang baik untuk mengesan kehadiran malware POS pada sistem – jika nama domain yang mencurigakan, seperti yang mempunyai TLD .onion, dilihat bahawa mereka harus disekat dengan segera.

Apabila LusyPOS pada mulanya diserahkan kepada VirusTotal pada 30 November, ia hanya dikesan oleh 7 daripada 55 enjin AV (dan dua daripada mereka yang ditandakan hanya kerana menggunakan TOR). Sekarang, dua minggu kemudian, ia hanya dikesan oleh 27 daripadanya.

Hoffman dan merendah diri membuat kesimpulan bahawa “Ini hanya permulaan di permukaan keluarga malware baru. Kami akan ingin melihatnya berkembang dalam beberapa tahun akan datang dan menjejaki kemajuannya “.