Nul
En ny stamme af point-of-sale (PoS) malware er tilsløre sig selv som et LogMeIn service pack for at skjule tyveriet af kundens data.
På torsdag, Forcepoint forskere Robert Neumann og Luke Somerville sagde i et blogindlæg, at en ny malware familie, døbt UDPoS, forsøger at skjule sig selv som legitime services for at undgå afsløring, mens overførsel af stjålne data.
En prøve af malware for nylig afsløret af den cybersecurity-virksomhed forklædt som en LogMeIn funktion. LogMeIn er et legitimt remote access system, der bruges til at administrere Pc ‘ er og andre systemer eksternt.
Denne falske “service pack” genereret “bemærkelsesværdige mængder af ‘usædvanlige’ DNS-anmodninger,” i henhold til holdet, og efter yderligere undersøgelser blev det konstateret, at den falske LogMein system var faktisk PoS malware.
PoS malware lurer i systemer, hvor kreditkort oplysninger er behandlet og potentielt gemt, såsom i butikker og restauranter. Hvis et point-of-sale system er inficeret, malware, såsom DEXTER eller BlackPOS vil stjæle betalings-kort data, der er indeholdt på det kreditkort, magnetiske strimler, før du sender disse oplysninger til dens operatør gennem en kommando og kontrol (C&C) server.
Disse oplysninger kan derefter bruges til at oprette narre kort fra banker, tør bank-konti, og kan eventuelt også bruges til identitetstyveri.
I 2013, USA detailhandler Mål blev offer for PoS malware og kredit kort oplysninger på omkring 110 millioner kunder blev stjålet.
I hvad Forcepoint kræver en lejlighedsvis nål i en “digital høstak,” den nye UDPoS malware bruger LogMein-tema filnavne og C&C-url ‘ er for at skjule sin DNS-baseret trafik.
En prøve af den malware, der kaldes logmeinumon.exe links til en C&C server hostet i Schweiz, og som indeholder en pipette og en selvudpakkende arkiver som henter indhold til temp mapper.
En LogMeInUpdService bibliotek er også skabt sammen med et system for at aktivere vedholdenhed, og derefter en overvågning komponent kommer i spil.
“Denne overvågning komponent har en næsten identisk struktur til service-komponent,” siger forskerne. “Det er udarbejdet af den samme Visual Studio bygge og bruger den samme streng kodning teknik: begge programmer indeholder kun et par identificerbare plain-text strings, og i stedet bruge en grundlæggende kryptering og kodning metode til at skjule strings som C2 server, filnavne, og hard-kodet proces navne.”
Overvågning komponent, der ikke kun holder øje med inficerede system processer, men også kontrol af antivirus beskyttelse og virtuelle maskiner.
Eventuelle data, der er på højkant, såsom kundens kortoplysninger, derefter indsamlet og sendt via DNS-trafik forklædt som LogMein.
“Næsten alle virksomheder har en firewall eller anden beskyttelse for at overvåge og filtrere TCP – og UDP-baseret kommunikation, men DNS er stadig ofte behandles forskelligt, hvilket giver en gylden mulighed for at lække data,” bemærker forskerne.
Se også: Starwood hotels falde bytte for point of sale malware
Forcepoint understreger, at brug af LogMein temaer er simpelthen en måde at camouflere malware ‘ s aktiviteter, og efter at videregive resultaterne til den eksterne software-firma, ikke har fundet nogen beviser produkt eller service misbrug.
Det vides endnu ikke, om denne malware bliver brugt i naturen, men den malware kompilation timestamps er registreret som 25 oktober 2017, så dette kan være en relativt ny kampagne.
Men forskerne siger, at der er bevis for en “tidligere Intel-tema variant”, hvilket tyder på UDPoS kan være den næste evolution inden for operationel malware, som er blevet modificeret til at blive mere succesfulde og mål friske ofre.
Opdatering 14.27 GMT: LogMein afgives følgende udtalelse:
“Dette link, fil eller en fil, der ikke leveres af LogMeIn og opdateringer til LogMeIn produkter, herunder programrettelser, opdateringer, osv., vil altid blive leveret sikkert i-produkt.
Du vil aldrig blive kontaktet af os med en anmodning om at opdatere din software, der også omfatter enten en vedhæftet fil eller et link til en ny version eller opdatere.”
Tidligere og relaterede dækning
Hackere snag en $1 laptop ved at udnytte fejl i point-of-sale systemer Oracle Mikroer point-of-sale system sårbarhed sætter business data i fare, Eddie Bauer siger, point-of-sale system er inficeret med malware
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0