Zero
Un nuovo ceppo di point-of-sale (PoS) il malware è camuffando come LogMeIn service pack per nascondere il furto dei dati del cliente.
Giovedì, Forcepoint ricercatori Robert Neumann e Luca Somerville, ha detto in un post sul blog di una nuova famiglia di malware, soprannominato UDPoS, tenta di mascherare se stesso come legittimo servizi per evitare il rilevamento durante il trasferimento di dati rubati.
Un campione di malware recentemente scoperto dall’cybersecurity ditta assume le sembianze di un LogMeIn funzione. LogMeIn è un legittimo sistema di accesso remoto utilizzato per gestire i Pc e altri sistemi in remoto.
Questo falso “service pack” generato “notevole quantità di insolito richieste DNS,” secondo il team, e dopo ulteriori indagini, si è scoperto che il falso LogMein sistema era in realtà PoS malware.
PoS malware si nasconde nei sistemi in cui la carta di credito di elaborazione delle informazioni e potenzialmente archiviato, ad esempio in negozi e ristoranti. Se un punto vendita sistema è infetto, malware come DEXTER o BlackPOS ti rubano la carta di pagamento dati riportati sulla carta di credito strisce magnetiche, prima di inviare queste informazioni al suo operatore per mezzo di un comando e controllo (C&C) server.
Queste informazioni possono poi essere utilizzati per creare dupe carte da banche, pulire conti bancari, e, potenzialmente, possono essere usate anche il furto di identità.
Nel 2013, il negozio di Destinazione è stato vittima di PoS malware e le informazioni della carta di credito di circa 110 milioni di clienti, è stata rubata.
In che cosa Forcepoint chiamate occasionali ago in un “digital pagliaio”, il nuovo UDPoS malware utilizza LogMein a tema i nomi di file e C&C Url per nascondere la sua DNS di traffico.
Un campione di malware, chiamato logmeinumon.exe, si collega a un server C&C ospitato in Svizzera e contiene un contagocce e archivi autoestraenti che estrae il contenuto di temp.
Un LogMeInUpdService directory viene creata anche insieme con un servizio di sistema per attivare la persistenza e quindi un componente di monitoraggio che entra in gioco.
“Questo componente di monitoraggio ha una struttura quasi identica alla componente di servizio,” dicono i ricercatori. “E’ compilato con Visual Studio build e utilizza la stessa stringa tecnica di codifica: entrambi gli eseguibili contenenti solo pochi identificabili pianura-stringhe di testo, invece di usare una crittografia di base e metodo di codifica per nascondere le stringhe come la C2 server, i nomi dei file, e hard-coded processo di nomi.”
La componente di monitoraggio non solo mantiene un occhio su sistema infetto processi ma anche i controlli antivirus e protezioni delle macchine virtuali.
Dati palio, come la carta cliente informazioni, viene poi raccolto e inviato attraverso il traffico DNS travestito da LogMein.
“Quasi tutte le aziende hanno dei firewall e altri dispositivi di protezione per il monitoraggio e il filtro TCP e UDP di comunicazione, tuttavia, DNS è ancora spesso trattate in modo diverso, offrendo un’occasione d’oro per perdita di dati,” i ricercatori fanno notare.
Vedi anche: Starwood hotels in preda al punto di vendita di malware
Forcepoint sottolinea che l’uso di LogMein temi è semplicemente un modo per camuffare il malware attività, e dopo di divulgare i risultati remoto software azienda, nessuna prova è stata trovata di prodotto o servizio di abuso.
Non è ancora noto se o non questo malware viene utilizzato in natura, ma il malware compilazione timestamp sono registrati come 25 ottobre 2017, quindi questo può essere un relativamente nuova campagna.
Tuttavia, i ricercatori dicono che c’è evidenza di un “precedente Intel a tema variante”, che suggerisce UDPoS potrebbe essere la prossima evoluzione operativa di malware che è stato ottimizzato per diventare più successo e di destinazione delle vittime fresche.
Aggiornamento 14.27 GMT: LogMein fornito la seguente dichiarazione:
“A questo link, o file eseguibile non è fornito da LogMeIn e gli aggiornamenti per i prodotti LogMeIn, compresi gli aggiornamenti, le patch, ecc…. sarà sempre consegnato in modo sicuro nel prodotto.
Lei non potrà mai essere contattato da noi con una richiesta di aggiornare il tuo software che include anche un allegato o un link ad una nuova versione o un aggiornamento.”
Precedente e relativa copertura
Gli hacker intoppo a $1 computer portatile, sfruttando la falla nel punto vendita di sistemi Oracle Micros punto di vendita sistema di vulnerabilità mette business a rischio i dati di Eddie Bauer dice punto di vendita sistema è stato infettato da malware
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0