Blanda Chewbacca med Dexter, få LusyPOS

[ware_item id=33][/ware_item]

Blanda Chewbacca med Dexter, få LusyPOS


Darknet-marknader har hittats som säljer LusyPOS, en ny typ av programvara för försäljning av försäljningsställen som liknar sin karaktär till andra RAM-skrapor som används i några av de högst profilerade datainträngningarna 2014.

Liknande skadlig programvara användes i målöverträdelsen förra året där kompromissen med 40 miljoner betalkort, 70 miljoner poster och hundratals miljoner dollar i tillhörande kostnader.

På senare tid såg Home Depot-brottet kompromissen med 56 miljoner kort samt 53 miljoner e-postadresser i en liknande attack. Företaget står inför flera processer i USA och Kanada som ett resultat.

Skadliga cyberbrottslingar, och nästan alla andra med $ 2 000 i ryggen, kan hämta skadlig programvara från underjordiska kortsidor idag, inga frågor ställs.

LusyPOS, som vid 4MB är större än andra varianter, upptäcktes av CTBS-motortekniker tidigare denna månad. Nick Hoffman och Jeremy Humble analyserade “lusypos.exe” efter att det visades på VirusTotal och fick veta att det hade många likheter med två andra ökända POS-skadefamiljer - Chewbacca och Dexter.

Paret noterade att den nya variantens kod innehöll strängar för kommando och kontroll, vitlistbearbetning och registernyckelsperiod som tyder på att det "kan ha tagit en signifikans från dexter." Det noterades också att den är RAM-skrapningskod liknar den som finns i andra liknande skadlig programvara och metoden för att verifiera att den skrapade informationen är giltig kreditkortspårinformation (Luhn-algoritmen, standardmetoden för att verifiera kreditkortsnummer).

Liksom Chewbacca använder LusyPOS också TOR-nätverket som ger löften om anonymitet till de kontrollörer som kan använda den för att få åtkomst till information via en fjärrserver.

Tekniskt sett finns det ingen god anledning för en POS-maskin att prata med TOR, och det bör inte heller tillåtas. När det gäller PCI DSS-överensstämmelse med betalningskortsindustrins standard, bör sådan kommunikation uttryckligen förbjudas med Hoffman och säger "de flesta PCI-granskningar kommer att försöka låsa den här typen av aktivitet men det verkar finnas djävlar i implementeringen som tillåter skadlig program som detta för att bli framgångsrikt ”. Därför är sådan aktivitet ett bra sätt att upptäcka förekomsten av POS-skadlig programvara i ett system - om misstänkta domännamn, till exempel de med en .onion TLD, upptäcks bör de blockeras omedelbart.

När LusyPOS ursprungligen överlämnades till VirusTotal den 30 november upptäcktes det endast av 7 av dess 55 AV-motorer (och två av dem som flaggades endast på grund av dess användning av TOR). Nu, två veckor senare, upptäcks det fortfarande bara av 27 av dem.

Hoffman och ödmjuk drog slutsatsen att ”Detta är bara en repa i ytan på en ny skadlig familj. Vi kommer att vara nyfikna på att se den utvecklas under de kommande par åren och spåra dess framsteg ”.

Blanda Chewbacca med Dexter, få LusyPOS
admin Author
Sorry! The Author has not filled his profile.