Keverje össze a Chewbacca-t a Dexterrel, a Get LusyPOS-t


A darknet-piacokon a LusyPOS-t, egy új típusú értékesítési pont típusú rosszindulatú szoftvert értékesítettek, amely jellegénél fogva hasonló a többi RAM-kaparóhoz, amelyet a 2014-es legprofiláltabb adatok megsértése során használtak fel..

Hasonló rosszindulatú programokat használtak a tavalyi Target-jogsértés során is, amelyben 40 millió fizetési kártya, 70 millió rekord és több száz millió dollár járult hozzá a kapcsolódó költségekhez..

A közelmúltban a Home Depot megsértése 56 millió kártya és 53 millió e-mail cím kompromittálását eredményezte egy hasonló támadás során. Ennek eredményeként a társaság több pert indít az Egyesült Államokban és Kanadában.

Leendő számítógépes bűnözők, és csaknem bárki más, akinek 2000 dollár van a hátsó zsebében, ma felveheti a rosszindulatú programokat a földalatti kártyás webhelyekről, kérdés nélkül.

A 4 MB-nál nagyobb LusyPOS-ot, mint a többi változat, a CTBS fordított mérnökei fedezték fel a hónap elején. Nick Hoffman és Jeremy Humble elemezte a „lusypos.exe” fájlt, miután megjelenik a VirusTotalon, és megtudta, hogy sok hasonlóságot mutat két másik hírhedt POS malware családdal – a Chewbacca és a Dexter.

A pár megjegyezte, hogy az új változat kódja tartalmazta a parancs és vezérlés, a ballista listák feldolgozása és a rendszerleíró kulcs megmaradását, amelyek azt sugallják, hogy „esetleg véget vettek a Dexter-től”. Azt is megjegyezték, hogy a RAM kaparási kódja hasonló a többi hasonló rosszindulatú programok és annak ellenőrzési módszere, hogy a lekapart adatok érvényes hitelkártya-sávra vonatkoznak-e (a Luhn algoritmus, a hitelkártya-számok ellenőrzésének szokásos eszköze).

A Chewbacca-hoz hasonlóan a LusyPOS a TOR hálózatot is használja, amely anonimitást ígér az irányítók számára, akik távoli szerveren keresztül tudják elérni az információkat..

Technikai szempontból nincs oka annak, hogy a POS-gépek beszéljenek a TOR-nal, és ezt nem szabad megengedni. A fizetési kártyák ipari adatbiztonsági szabványának (PCI DSS) való megfelelését illetően az ilyen kommunikációt kifejezetten meg kell tiltani Hoffmannel, mondván: „A legtöbb PCI-ellenőrzés megpróbálja lezárni az ilyen tevékenységeket, de úgy tűnik, hogy a végrehajtásban ördögök teszik lehetővé a rosszindulatú programok, például ez a siker ”. Ezért az ilyen tevékenység jó eszköz a POS-malware jelenlétének észlelésére egy rendszeren – ha észlelnek gyanús domainneveket, például az .onion TLD-vel rendelkezőket, azokat azonnal blokkolni kell.

Amikor a LusyPOS-ot eredetileg november 30-án nyújtották be a VirusTotal-hoz, az 55 AV motorjából csak 7 észlelte (és kettő közül csak a TOR használata miatt jelölték meg). Most, két héttel később, még mindig csak 27ük észlelte.

Hoffman és alázatos arra a következtetésre jutott, hogy „Ez csak egy karcolás az új malware család felületén. Kíváncsi vagyunk, hogy figyeld a fejlõdést az elkövetkezõ pár évben, és nyomon követhessem annak haladását ”.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map