Noll
En ny stam av point-of-sale (PoS) malware är kamouflera sig som ett LogMeIn service pack-versionen för att dölja stöld av kundens data.
På torsdag, Forcepoint forskare Robert Neumann och Lukas Somerville sade i ett blogginlägg som en ny familj av skadlig kod, dubbade UDPoS, försök att dölja sig som legitima tjänster för att undvika upptäckt när du överför stulna uppgifter.
Ett urval av skadlig kod som nyligen avslöjats av it-företaget utger sig för att vara en LogMeIn funktion. LogMeIn är en legitim remote access system som används för att hantera Datorer och andra system på distans.
Denna falska “service pack” genererade “anmärkningsvärda mängder av ‘ovanlig’ DNS-förfrågningar,” enligt lag och vid närmare undersökning fann man att den falska LogMein system var faktiskt PoS malware.
PoS malware lurar i system där den processas och eventuellt lagras, till exempel i butiker och restauranger. Om ett point-of-sale-system är smittad med skadlig kod som DEXTER eller BlackPOS kommer att stjäla payment card data som finns på kreditkort med magnetremsor, innan du skickar denna information till sin operatör via en command and control (C&C) server.
Denna information kan sedan användas för att skapa dupera kort från banker, torka bankkonton, och kan också användas för identitetsstöld.
Under 2013 OSS återförsäljare Målet var utsatt för skadlig kod PoS och kreditkort information av ungefär 110 miljoner kunder var stulen.
I vad Forcepoint samtal en och annan nål i en “digital höstack,” den nya UDPoS malware använder LogMein-tema filnamn och C&C Webbadresser för att dölja dess DNS-baserad trafik.
Ett urval av skadlig programvara, som kallas logmeinumon.exe länkar till en C&C-server som värd i Schweiz och innehåller en pipett och självextraherande arkiv som utdrag av innehåll till temp kataloger.
En LogMeInUpdService katalogen är också att tillsammans skapa en systemtjänst om du vill aktivera uthållighet, och sedan en komponent för övervakning kommer in i bilden.
“Denna övervakning komponent har en nästan identisk struktur för att tjänsten komponent,” forskarna säger. “Det är sammanställd av samma Visual Studio-bygga och använder samma string encoding teknik: både körbara filer som endast innehåller några identifierbara plain-text-strängar, och istället använda en grundläggande kryptering och kodning metod för att dölja strängar som C2 server, filnamn, och hårdkodade process namn.”
Övervakning komponent som inte bara håller ett öga på infekterade system, processer, men även kontroller för antivirus skydd och virtuella maskiner.
Alla uppgifter som står på spel, såsom kund-kort information, som sedan samlas in och skickas genom DNS-trafik förklädd LogMein.
“Nästan alla företag har brandväggar och andra skydd på plats för att övervaka och filtrera TCP – och UDP-baserad kommunikation, men DNS är fortfarande ofta behandlas på olika sätt ger ett gyllene tillfälle att läcka uppgifter,” forskarna notera.
Se även: Starwood hotels falla offer för point of sale malware
Forcepoint betonar att användningen av LogMein teman är helt enkelt ett sätt att dölja skadlig kod s verksamhet, och efter att avslöja resultaten till fjärr-programvara företaget, inga bevis har hittats för att produkten eller tjänsten missbruk.
Det är ännu inte känt huruvida denna malware som används i det vilda, men skadlig kod s sammanställning tidsstämplar redovisas som 25 oktober 2017, så detta kan vara en relativt ny kampanj.
Men forskare säger att det finns bevis för en “tidigare Intel-tema variant,” vilket tyder UDPoS kan bli nästa evolution i operativa skadlig kod som har varit fixade för att bli mer framgångsrika och mål färskt offer.
Uppdatering 14.27 GMT: LogMein lämnat följande uttalande:
“Denna länk, fil eller program är inte tillhandahålls av LogMeIn och uppdateringar för LogMeIn produkter, inklusive korrigeringar, uppdateringar, etc., levereras alltid säkert i-produkt.
Du kommer aldrig att bli kontaktad av oss med en begäran om att uppdatera din programvara, som också innehåller en bifogad fil eller en länk till en ny version eller uppdatera.”
Tidigare och relaterade täckning
Hackare haffa en $1 bärbar dator genom att utnyttja en svaghet i point-of-sale-system Oracle Micros point-of-sale-system sårbarhet sätter affärsdata på risk Eddie Bauer säger point-of-sale-system var infekterade med skadlig kod
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0