Amestecați Chewbacca cu Dexter, Obțineți LusyPOS


Piețele Darknet au fost găsite care vând LusyPOS, un nou tip de malware punctual de vânzare, care este de natură similară cu alte răzuitoare RAM utilizate în unele dintre cele mai înalte încălcări ale datelor din 2014.

Un malware similar a fost utilizat în încălcarea Target anul trecut, care a văzut compromisul a 40 de milioane de carduri de plată, 70 de milioane de înregistrări și sute de milioane de dolari în costuri asociate..

Mai recent, încălcarea Home Depot a văzut compromisul de 56 de milioane de carduri, precum și 53 de milioane de adrese de e-mail într-un atac similar. Ca urmare, compania se confruntă cu procese multiple în SUA și Canada.

Ar fi cybercriminali, și aproape oricine altcineva cu 2.000 de dolari în buzunarul din spate, poate ridica malware astăzi de pe site-urile de carduri subterane, fără întrebări.

LusyPOS, care la 4MB este mai mare decât alte variante, a fost descoperit de către inginerii CTBS invers la începutul acestei luni. Nick Hoffman și Jeremy Humble au analizat „lusypos.exe” după ce a apărut pe VirusTotal și au aflat că are multe asemănări cu alte două familii de malware POS notorii – Chewbacca și Dexter.

Perechea a remarcat faptul că codul noii variante conținea șiruri pentru comandă și control, prelucrare în lista albă și persistență cheie de registru care sugerează că „poate ar fi luat o notă de la dexter”. De asemenea, s-a remarcat faptul că este codul de răzuire RAM este similar cu cel găsit în alte malware similar și metoda de verificare a faptului că datele razuite sunt informații valide ale cărților de credit (algoritmul Luhn, mijlocul standard de verificare a numerelor de carduri de credit).

La fel ca Chewbacca, LusyPOS folosește și rețeaua TOR, care oferă promisiunea anonimității controlerelor care o pot folosi pentru a accesa informații prin intermediul unui server de la distanță.

Tehnic vorbind, nu există niciun motiv bun pentru o mașină POS să vorbească cu TOR și nici nu ar trebui să fie permisă. În ceea ce privește respectarea standardului de securitate a datelor cu carduri de plată (PCI DSS), o astfel de comunicare ar trebui interzisă în mod expres cu Hoffman afirmând că „majoritatea auditurilor PCI vor încerca să blocheze acest tip de activitate, dar par să existe diavoli în implementarea care permit malware cum ar fi pentru a avea succes ”. Prin urmare, o astfel de activitate este un bun mijloc de a detecta prezența malware POS pe un sistem – dacă numele de domeniu suspecte, cum ar fi cele cu un TLD .onion, sunt identificate, acestea ar trebui blocate imediat.

Când LusyPOS a fost trimis inițial la VirusTotal la 30 noiembrie, a fost detectat doar de 7 din cele 55 de motoare ale sale AV (și două dintre acestea l-au semnalizat doar datorită utilizării TOR). Acum, două săptămâni mai târziu, este încă detectat doar de 27 dintre ei.

Hoffman și humble au concluzionat că „Aceasta este doar o zgârietură în suprafața unei noi familii de malware. Vom fi curioși să vedem cum evoluează în următorii doi ani și să le urmărim progresul ”.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map