Nul
En ny malware-kampagne har været opdaget, som er rettet mod point-of-sale (PoS) systemer i hele Usa og Europa.
Onsdag, forskere fra IBM X-Force IRIS sagde, at angrebene har været tilskrevet FIN6 cyberkriminelle gruppe.
Dette er kun anden gang, at en kampagne er blevet dokumenteret, som ser ud til at være det værk af FIN6. Ifølge FireEye (.PDF), den gruppe, der først opstod i 2016, hvor det kom frem, at truslen aktører, der havde stjålet millioner af numre på kreditkort.
FIN6 gjort brug af legitimationsoplysninger stjæle bagdør for malware, der kaldes Grabnew til at høste konto oplysninger, før du bruger offentligt tilgængelige værktøjer til at kortlægge netværk kompromitteret. Gruppen vil derefter finde og udnytte PoS-enheder ved hjælp af Treenigheden, malware, også kendt som FrameworkPOS, som er i stand til at infiltrere PoS hukommelse komponenter og exfiltrate data.
Denne information blev derefter komprimeret til en .ZIP-arkiv, der overføres til en kommando-og-kontrol (C&C) server via en SSH-tunnel og endte til salg i internettets underverden.
Den tidligere kampagne nettede gruppen detaljer for over 10 millioner kreditkort, som hver blev solgt til et gennemsnit på $21, netting FIN6 millioner af dollars i potentielle profit.
Den seneste kampagne, der bevæger sig langs samme spor. X-Force IRIS forskere siger, at 90 procent af de angreb, der i øjeblikket finder sted, bruge den samme taktik og angreb værktøjer, som er beskrevet i den oprindelige bølge af angreb mod PoS-systemer.
Se også: Windows-værktøj, der bruges af malware i nye oplysninger tyveri kampagner
Men den gruppe er ikke længere begrænset til Grabnew og Trinity, som FIN6 nu også beskæftiger Windows Management Instrumentation Kommando (WMIC) at “automatisere ekstern udførelse af PowerShell-kommandoer og scripts,” så godt som Metasploit framework.
TechRepublic: Timehop brud illustrerer behovet for en multi-faktor autentificering
Tidligere i denne måned, Symantec forskere undersøgt, hvordan WMIC og mindre kendte Windows-fil extensions blev misbrugt af trussel aktører i data-stjæle kampagner på samme måde.
FIN6 ‘ s værktøjer er generelt simple og tilgængelige online, men truslen koncernens raffinement ligger ikke i sin værktøjskasse, men derimod dets evne til at omgå sikkerhedssystemer gennem stealth.
IBM siger, at FIN6 slører PowerShell kommandoer med base64-kodning og gzip-komprimering, genererer tilfældige navne i Windows event logs, for at undgå mistanke, og også dynamisk genererer fil navne for binære filer på disken.
Hertil kommer, at gruppen bruger specifikke PowerShell parametre til at omgå antivirus beskyttelse, skaber en winhlp.dat-filen som et dække filnavn for en ondsindet PowerShell script, der er designet til at injicere FrameworkPOS ind “lsass.exe” og vil udelukke nogle specifikke processer for Trinity rettet mod at forhindre forårsager system forstyrrelser — hvilket er særligt vigtigt, når en kampagne er baseret på hemmelige tyveri, snarere end skade.
CNET: OS og intelligens allierede tage sigte på tech virksomheder i løbet af kryptering
“Mens nogle af disse taktikker, teknikker og procedurer (TTPs) kan være bivirkninger af værktøjer FIN6 aktører brugte eller bestemte til det miljø, som de aktører, der var i drift, at vi tror, at mange repræsentere nye TTPs, der kunne blive karakteristisk for udviklet sig FIN6 standardprocedurer,” siger forskerne.
Det vides ikke, hvor mange virksomheder kan blive ofre i den seneste kampagne.
PoS-terminaler er big business, i betragtning af den værdifulde finansielle data, som de indsamler. En række alvorlige sårbarheder blev for nylig fundet i populære mobile PoS-systemer, der tilbydes af leverandører, herunder Pladsen, SumUp, iZettle, og PayPal, som kunne give skruppelløse forhandlere til at stjæle kreditkortoplysninger fra kunder.
Tidligere og relaterede dækning
Facebook ‘s” war room’ jagter og ødelægger valg at blande sig, falske nyheder Denne malware forklædt som bankgaranti til raid din konto i Google ‘ s campus dør sikkerhed sprængt bred åben ved sin egen ingeniør
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0