Nul
Een nieuwe stam van het point-of-sale (PoS) malware is vermommen zich als een LogMeIn-service pack te verbergen voor de diefstal van klantgegevens.
Op donderdag, Forcepoint onderzoekers Robert Neumann en Lucas Somerville zei in een blog post die een nieuwe malware-familie, genaamd UDPoS, probeert om zichzelf te vermommen als legitiem diensten om detectie te voorkomen tijdens het overbrengen van de gestolen gegevens.
Een voorbeeld van de malware die onlangs ontdekt door de cybersecurity bedrijf zich voordoet als een LogMeIn-functie. LogMeIn is een legitieme remote access-systeem gebruikt voor het beheren van Pc ‘ s en andere systemen op afstand.
Deze nep ‘service pack’ gegenereerd ‘ opmerkelijke hoeveelheden van ‘ongewone’ DNS-aanvragen”, aldus het team en bij nader onderzoek, bleek dat de nep-LogMein systeem was eigenlijk PoS malware.
PoS malware schuilt in systemen waar de credit card informatie wordt verwerkt en mogelijk opgeslagen, zoals in winkels en restaurants. Als een point-of-sale systeem is geïnfecteerd, malware zoals DEXTER of BlackPOS zal stelen van de payment card gegevens op de creditcard magnetische strips, voordat u deze informatie aan de operator door middel van een command and control (C&C) server.
Deze informatie kan vervolgens worden gebruikt voor het maken dupe kaarten van banken, veeg bankrekeningen, en mogelijk kan ook worden gebruikt voor identiteitsdiefstal.
In 2013, de AMERIKAANSE retailer Target was het slachtoffer van PoS-malware en de credit card gegevens van ongeveer 110 miljoen klanten werd gestolen.
In wat Forcepoint noemt een incidentele naald in een “digitale hooiberg,” de nieuwe UDPoS malware maakt gebruik van LogMein-thema bestandsnamen en C&C-Url ‘ s te verbergen voor de DNS-gebaseerde verkeer.
Een voorbeeld van de malware, genaamd logmeinumon.exe links naar een C&C server gehost in Zwitserland en bevat een druppelteller en zelf-uitpakkende archieven, die extracten van content naar tijdelijke mappen.
Een LogMeInUpdService map is ook gemaakt samen met een systeem van service inschakelen persistentie en vervolgens een controle component in het spel komt.
“Deze monitoring component heeft een bijna identieke structuur van de service component,” zeggen de onderzoekers. “Het is samengesteld door dezelfde Visual Studio op te bouwen en maakt gebruik van dezelfde string encoding techniek: zowel uitvoerbare bestanden bevat maar een paar herkenbare tekst-strings, en in plaats daarvan gebruik van een basic-versleuteling en codering methode te verbergen strings, zoals de C2-server, bestandsnamen, en hard-coded process names.”
De controlefunctie niet alleen houdt een oogje in het geïnfecteerde systeem processen, maar ook controleert antivirus bescherming en virtuele machines.
Alle gegevens voor het oprapen, zoals klant-kaart informatie is vervolgens verzameld en verzonden door middel van DNS-verkeer vermomd als LogMein.
“Bijna alle bedrijven hebben firewalls en andere beveiligingen in de plaats te controleren en filteren van TCP – en UDP-gebaseerde communicatie, echter, DNS is toch vaak anders behandeld dan het verstrekken van een gouden kans om te lekken van gegevens,” de onderzoekers opmerking.
Zie ook: Starwood hotels vallen ten prooi aan het punt van verkoop malware
Forcepoint benadrukt dat het gebruik van LogMein thema ‘ s is gewoon een manier om de camouflage van de malware-activiteiten, en na het openbaar maken van de bevindingen van de externe software onderneming, geen bewijs is gevonden van het product of de service misbruik.
Het is nog niet bekend of deze malware wordt gebruikt in het wild, maar de malware-compilatie timestamps worden opgenomen als 25 oktober 2017, dus dit kan een relatief nieuwe campagne.
Echter, de onderzoekers zeggen dat er sprake is van een “eerder Intel-thema-variant,” die suggereert UDPoS kan de volgende evolutie in de operationele malware die is aangepast om meer succesvol te worden en het doel nieuwe slachtoffers.
Update 14.27 GMT: LogMein, mits aan de volgende verklaring:
“Deze link, bestand of een uitvoerbaar bestand is niet voorzien door LogMeIn en updates voor LogMeIn-producten, met inbegrip van patches, updates, etc., altijd zal worden geleverd stevig in het product.
Je zal nooit gecontacteerd worden door ons met een verzoek om een update van uw software bevat ook een bijlage of een link naar een nieuwe versie of update.”
Vorige en aanverwante dekking
Hackers addertje onder het gras een $1 laptop door gebruik te maken van een beveiligingslek in point-of-sale systemen Oracle Micros point-of-sale systeem kwetsbaarheid zet zaken gegevens in gevaar Eddie Bauer zegt point-of-sale systeem is besmet met malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0