Mescola Chewbacca con Dexter, ottieni LusyPOS

[ware_item id=33][/ware_item]

Mescola Chewbacca con Dexter, ottieni LusyPOS


I mercati di Darknet sono stati trovati vendendo LusyPOS, un nuovo tipo di malware per punti vendita di natura simile ad altri raschietti RAM utilizzati in alcune delle violazioni dei dati di più alto profilo del 2014.

Un malware simile è stato utilizzato nella violazione di Target dello scorso anno che ha visto il compromesso di 40 milioni di carte di pagamento, 70 milioni di record e centinaia di milioni di dollari di costi associati.

Più recentemente, la violazione di Home Depot ha visto il compromesso di 56 milioni di carte e 53 milioni di indirizzi e-mail in un attacco simile. Di conseguenza, la società si trova ad affrontare molteplici cause negli Stati Uniti e in Canada.

Gli aspiranti criminali informatici, e chiunque altro con $ 2.000 nella tasca posteriore, possono raccogliere il malware dai siti Web di card sotterranei oggi, senza fare domande.

LusyPOS, che a 4 MB è più grande di altre varianti, è stato scoperto dagli ingegneri inversi CTBS all'inizio di questo mese. Nick Hoffman e Jeremy Humble hanno analizzato "lusypos.exe" dopo che è apparso su VirusTotal e hanno appreso che aveva molte somiglianze con altre due famigerate famiglie di malware POS: Chewbacca e Dexter.

La coppia ha notato che il codice della nuova variante conteneva stringhe per il comando e il controllo, l'elaborazione della whitelist e la persistenza delle chiavi del registro di sistema che suggeriscono che "potrebbe aver preso spunto da Dexter". È stato anche notato che il suo codice di scraping RAM è simile a quello trovato in altri malware simile e il metodo per verificare che i dati estratti siano informazioni valide sulla traccia della carta di credito (algoritmo Luhn, il mezzo standard per verificare i numeri di carta di credito).

Come Chewbacca, anche LusyPOS utilizza la rete TOR che offre la promessa di anonimato ai controller che possono utilizzarlo per accedere alle informazioni tramite un server remoto.

Tecnicamente parlando, non esiste una buona ragione per una macchina POS per parlare con TOR, e nemmeno dovrebbe esserlo. In termini di conformità PCI DSS (Payment Card Industry Data Security Standard), tale comunicazione dovrebbe essere espressamente vietata con Hoffman che afferma che “la maggior parte degli audit PCI tenterà di bloccare questo tipo di attività ma sembrano esserci dei diavoli nell'implementazione che consentono malware come questo per avere successo ”. Pertanto tale attività è un buon mezzo per rilevare la presenza di malware POS su un sistema - se vengono individuati nomi di dominio sospetti, come quelli con un TLD .onion, devono essere bloccati immediatamente.

Quando LusyPOS è stato inizialmente inviato a VirusTotal il 30 novembre, è stato rilevato solo da 7 dei suoi 55 motori AV (e due di questi lo hanno segnalato solo a causa del suo uso di TOR). Ora, due settimane dopo, viene ancora rilevato solo da 27 di loro.

Hoffman e l'umile hanno concluso che “Questo è solo un graffio sulla superficie di una nuova famiglia di malware. Saremo curiosi di vederlo evolversi nei prossimi due anni e seguirne i progressi ".

Mescola Chewbacca con Dexter, ottieni LusyPOS
admin Author
Sorry! The Author has not filled his profile.