Noll
En ny skadlig kod kampanj har upptäckts som riktar sig till point-of-sale (PoS) system över hela Usa och Europa.
På onsdag, forskare från IBM X-Force IRIS sade att attackerna har hänförts till FIN6 cybercriminal grupp.
Detta är bara andra gången som en kampanj har dokumenterats som verkar vara en skapelse av FIN6. Enligt FireEye (.PDF), den grupp som först uppstod i och med 2016, då det uppdagades att hotet aktörer hade stulna miljoner kreditkortsnummer.
FIN6 använt sig av referens stjäla bakdörr för skadlig kod som kallas Grabnew att skörda konto innan du använder allmänt tillgängliga verktyg för att kartlägga äventyras nätverk. Gruppen skulle sedan hitta och utnyttja PoS-enheter med hjälp av Treenigheten skadlig kod, även känd som FrameworkPOS, som kan infiltrera PoS minne komponenter och exfiltrate data.
Denna information har sedan pressats samman till en .ZIP-arkiv, som överförts till en command-and-control (C&C) server via en SSH-tunnel och slutade upp till försäljning på Webben buk.
Den tidigare kampanjen netto koncernen uppgifter om över 10 miljoner kreditkort, som såldes för ett genomsnitt av $21, nät FIN6 miljontals dollar i eventuell vinst.
Den senaste kampanjen rör sig längs liknande spår. X-Force IRIS forskare säger att 90 procent av de attacker som för närvarande pågår använda samma taktik och attackera verktyg som identifierades i den ursprungliga våg av attacker mot PoS-system.
Se även: Windows-verktyg som används av skadlig kod i ny information stöld kampanjer
Men gruppen är inte längre begränsad till Grabnew och Treenigheten, som FIN6 nu också använder Windows Management Instrumentation Kommando (du WMIC) att “automatisera fjärrkörning av PowerShell-kommandon och skript,” liksom Metasploit framework.
TechRepublic: Timehop brott illustrerar behovet av multi-faktor autentisering
Tidigare denna månad, Symantec forskarna undersökte hur du WMIC och mindre kända Windows filändelser missbrukas genom hot aktörer i data-stjäla-kampanjer på samma sätt.
FIN6 s verktyg är i allmänhet enkel och tillgänglig online, men hotet koncernens förfining ligger inte i sin verktygslåda, utan snarare dess förmåga att kringgå säkerhetssystem genom smyg.
IBM säger att FIN6 förvirrar PowerShell-kommandon med base64-kodning och gzip-komprimering, genererar slumpmässiga namn på tjänster i Windows händelseloggar för att undvika misstankar, och även dynamiskt genererar filnamn för binärer på disk.
Dessutom har koncernen använder sig av specifika PowerShell parametrar för att kringgå antivirus skydd, skapar en winhlp.dat-filen som en lock fil för en skadlig PowerShell-skript som utformats för att injicera FrameworkPOS in “lsass.exe” och kommer att utesluta vissa specifika processer för Trinity är inriktade på att förhindra att systemet störningar-vilket är särskilt viktigt när en kampanj är baserad på hemliga stöld, snarare än skada.
CNET: USA och intelligens allierade ta sikte på högteknologiska företag över kryptering
“Medan en del av dessa taktik, teknik och procedurer (TTPs) kan vara biverkningar av verktyg FIN6 aktörer använder, eller som är specifika för den miljö i vilken de aktörer som var verksamma, vi tror att många representerar en ny TTPs som kan bli egenskap hos utvecklats FIN6 standardrutiner,” forskarna säger.
Det är inte känt hur många företag kan ha blivit offer i den senaste kampanjen.
PoS-terminaler är big business, med tanke på den värdefulla ekonomiska data som de samlar in. Ett antal allvarliga sårbarheter har nyligen hittats i populära mobila PoS-system som erbjuds av leverantörer inklusive Square, SumUp, iZettle och PayPal som skulle tillåta att skrupelfria köpmän att stjäla kreditkortsuppgifter från kunder.
Tidigare och relaterade täckning
Facebook ‘s” war room ” jagar och förstör valet att lägga sig, falska nyheter Denna malware döljer sig som bank security raid ditt konto i Googles campus dörren säkerhet blästrade vidöppna av sin egen ingenjör
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0