Mélangez Chewbacca avec Dexter, obtenez LusyPOS

[ware_item id=33][/ware_item]

Mélangez Chewbacca avec Dexter, obtenez LusyPOS


Les marchés de Darknet ont été trouvés en vendant LusyPOS, un nouveau type de malware de point de vente qui est de nature similaire à d'autres racleurs de RAM utilisés dans certaines des violations de données les plus importantes de 2014.

L'an dernier, des logiciels malveillants similaires ont été utilisés lors de la violation de Target, qui a compromis 40 millions de cartes de paiement, 70 millions d'enregistrements et des centaines de millions de dollars de coûts associés..

Plus récemment, la violation de Home Depot a vu le compromis de 56 millions de cartes ainsi que 53 millions d'adresses e-mail dans une attaque similaire. La société fait face à plusieurs poursuites aux États-Unis et au Canada en conséquence.

Les cybercriminels potentiels, et à peu près n'importe qui d'autre avec 2 000 $ dans leur poche arrière, peuvent récupérer les logiciels malveillants sur les sites de cartes souterraines aujourd'hui, sans poser de questions.

LusyPOS, qui à 4 Mo est plus grand que les autres variantes, a été découvert par les ingénieurs inverses de CTBS plus tôt ce mois-ci. Nick Hoffman et Jeremy Humble ont analysé «lusypos.exe» après son apparition sur VirusTotal et ont appris qu'il avait de nombreuses similitudes avec deux autres familles de logiciels malveillants de PDV notoires - Chewbacca et Dexter.

La paire a noté que le code de la nouvelle variante contenait des chaînes de commande et de contrôle, le traitement de la liste blanche et la persistance des clés de registre qui suggèrent qu'il "peut avoir pris un signal de dexter". malware similaire et méthode de vérification que les données récupérées sont des informations de suivi de carte de crédit valides (l'algorithme de Luhn, le moyen standard de vérifier les numéros de carte de crédit).

Comme Chewbacca, LusyPOS utilise également le réseau TOR qui offre la promesse d'anonymat aux contrôleurs qui peuvent l'utiliser pour accéder aux informations via un serveur distant.

Techniquement parlant, il n'y a aucune bonne raison pour qu'un automate de point de vente parle à TOR, et il ne devrait pas non plus être autorisé à le faire. En termes de conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), une telle communication devrait être expressément interdite avec Hoffman disant «la plupart des audits PCI tenteront de verrouiller ce type d'activité, mais il semble y avoir des démons dans la mise en œuvre qui permettent des logiciels malveillants comme pour réussir ». Par conséquent, une telle activité est un bon moyen de détecter la présence de logiciels malveillants POS sur un système - si des noms de domaine suspects, tels que ceux avec un TLD .onion, sont repérés, ils doivent être bloqués immédiatement.

Lorsque LusyPOS a été initialement soumis à VirusTotal le 30 novembre, il n'a été détecté que par 7 de ses 55 moteurs AV (et deux de ceux-ci l'ont signalé uniquement en raison de l'utilisation de TOR). Maintenant, deux semaines plus tard, il n'est encore détecté que par 27 d'entre eux.

Hoffman et humble ont conclu que «ce n'est qu'une égratignure à la surface d'une nouvelle famille de logiciels malveillants. Nous serons curieux de le voir évoluer au cours des deux prochaines années et de suivre ses progrès. ».

Mélangez Chewbacca avec Dexter, obtenez LusyPOS
admin Author
Sorry! The Author has not filled his profile.