امزج Chewbacca مع Dexter ، واحصل على LusyPOS

[ware_item id=33][/ware_item]

امزج Chewbacca مع Dexter ، واحصل على LusyPOS


تم العثور على أسواق Darknet التي تبيع LusyPOS ، وهو نوع جديد من البرمجيات الخبيثة في نقاط البيع والتي تشبه في طبيعتها أدوات كشط ذاكرة الوصول العشوائي الأخرى المستخدمة في بعض خروقات البيانات الشخصية الأعلى لعام 2014.

تم استخدام برامج ضارة مماثلة في الهدف الذي تم اختراقه في العام الماضي والذي شهد تسوية قدرها 40 مليون بطاقة دفع و 70 مليون سجل ومئات الملايين من الدولارات في التكاليف المرتبطة.

في الآونة الأخيرة ، شهدت خرق هوم ديبوت تسوية قدرها 56 مليون بطاقة بالإضافة إلى 53 مليون عنوان بريد إلكتروني في هجوم مماثل. تواجه الشركة دعاوى قضائية متعددة في الولايات المتحدة وكندا نتيجة لذلك.

يمكن لمجرمي الإنترنت المحتملين ، وحوالي أي شخص آخر لديه 2000 دولار في جيبه الخلفي ، التقاط البرامج الضارة من مواقع البطاقات الإلكترونية تحت الأرض اليوم ، لم يتم طرح أي أسئلة.

تم الكشف عن LusyPOS ، الذي يبلغ حجمه 4 ميجابايت أكبر من المتغيرات الأخرى ، بواسطة مهندسي CTBS العكسيين في وقت سابق من هذا الشهر. قام نيك هوفمان وجيريمي هامبل بتحليل "lusypos.exe" بعد ظهوره على VirusTotal وعلموا أن هناك العديد من أوجه التشابه مع عائلتين أخريين من برامج POS الخبيثة الشهيرة - Chewbacca و Dexter.

لاحظ الزوجان أن رمز المتغير الجديد يحتوي على سلاسل للأوامر والتحكم ، ومعالجة القائمة البيضاء واستمرار مفتاح التسجيل الذي يشير إلى أنه "ربما يكون قد أخذ إشارة من أيمن". ولوحظ أيضًا أنه رمز إلغاء ذاكرة الوصول العشوائي مشابه لتلك الموجودة في ملفات أخرى. برامج ضارة مماثلة وطريقة التحقق من أن البيانات المحشورة هي معلومات تتبع بطاقة ائتمان صالحة (خوارزمية Luhn ، والوسائل القياسية للتحقق من أرقام بطاقات الائتمان).

مثل Chewbacca ، يستخدم LusyPOS أيضًا شبكة TOR التي توفر الوعد بعدم الكشف عن الهوية لوحدات التحكم التي يمكنها استخدامها للوصول إلى المعلومات عبر خادم بعيد.

من الناحية الفنية ، لا يوجد سبب وجيه لآلة POS للتحدث إلى TOR ، ولا ينبغي السماح لها بذلك. فيما يتعلق بالامتثال لمعايير أمان بيانات صناعة بطاقة الدفع (PCI DSS) ، يجب حظر هذا الاتصال بشكل صريح بقول Hoffman أن "معظم عمليات تدقيق PCI ستحاول إغلاق هذا النوع من النشاط ولكن يبدو أن هناك شياطين في التنفيذ يسمح ببرامج ضارة مثل هذا ليكون ناجحا ". لذلك ، يعد هذا النشاط وسيلة جيدة للكشف عن وجود برامج ضارة لنقاط البيع على النظام - إذا تم اكتشاف أسماء النطاقات المشبوهة ، مثل تلك التي لها نطاق .onion TLD ، فينبغي حظرها على الفور.

عندما تم إرسال LusyPOS في البداية إلى VirusTotal في 30 نوفمبر ، تم اكتشافه فقط بواسطة 7 من محركات AV البالغ عددها 55 (واثنان منها قاما بالإشارة إليها فقط بسبب استخدامها لـ TOR). الآن ، بعد أسبوعين ، لا يزال يتم اكتشافه فقط من قبل 27 منهم.

وخلص هوفمان ومتواضع إلى أن "هذا مجرد خدش على سطح عائلة برامج ضارة جديدة. سنكون فضوليين لمشاهدتها تتطور على مدار العامين المقبلين وتتبع تقدمها ".

امزج Chewbacca مع Dexter ، واحصل على LusyPOS
admin Author
Sorry! The Author has not filled his profile.