Zero
Una nuova campagna di malware è stato rilevato che si rivolge point-of-sale (PoS) sistemi in tutto il Stati Uniti e in Europa.
Mercoledì, i ricercatori di IBM X-Force IRIS ha detto che gli attacchi sono stati attribuiti al FIN6 gruppo di criminali informatici.
Questa è solo la seconda volta che una campagna è stato documentato che sembra essere l’opera di FIN6. Secondo FireEye (.PDF), il gruppo in primo luogo è emerso nel 2016, quando è venuto alla luce che la minaccia attori avevano rubato milioni di numeri di carte di credito.
FIN6 fatto uso di credenziali di rubare malware backdoor chiamato Grabnew per raccogliere i dettagli dell’account, prima di utilizzare pubblicamente disponibili strumenti per la mappa compromesso reti. Il gruppo avrebbe poi trovare e sfruttare i dispositivi PoS utilizzando la Trinità malware, noto anche come FrameworkPOS, che è in grado di infiltrarsi PoS componenti di memoria e sottrarre dati.
Questa informazione è stata poi compressa in un .Archivio ZIP, trasferito al comando-e-controllo (C&C) server attraverso un tunnel SSH e finito per la vendita nel Web ventre.
L’ex campagna di compensare il gruppo i dettagli di oltre 10 milioni di carte di credito, di cui ciascuno è stato venduto per una media di $21, compensazione FIN6 milioni di dollari in profitto potenziale.
L’ultima campagna si muove lungo, brani simili. X-Force IRIS ricercatori dicono che il 90 per cento degli attacchi attualmente in corso, utilizzare la stessa tattica e strumenti di attacco individuate nel ondata di attacchi contro i sistemi PoS.
Vedi anche: utility di Windows utilizzato da malware nel nuovo furto di informazioni e campagne
Tuttavia, il gruppo non è più limitato a Grabnew e Trinità, come FIN6 ora anche l’impiego di Strumentazione Gestione Windows (Comando WMIC) per “automatizzare l’esecuzione remota di comandi di PowerShell e script,” così come il Metasploit framework.
TechRepublic: Timehop violazione illustra necessario per l’autenticazione multi-factor
All’inizio di questo mese, Symantec ricercatori hanno esplorato come WMIC e poco conosciuta estensioni di file Windows sono stati vittime di abusi da parte di minaccia attori per il furto di dati campagne nello stesso modo.
FIN6 strumenti sono generalmente semplici e disponibili online, ma la minaccia del gruppo raffinatezza non risiede nel suo toolkit, ma piuttosto, la sua capacità di aggirare i sistemi di sicurezza attraverso stealth.
IBM dice che FIN6 di offuscare i comandi di PowerShell con base64 codifica e la compressione gzip, genera casuale di nomi di servizio nel log degli eventi di Windows per evitare il sospetto, e genera dinamicamente i nomi di file per i file binari di su disco.
In aggiunta, il gruppo si avvale di specifici parametri per bypassare protezioni antivirus, crea un winhlp.file dat come un coperchio nome di file per un dannoso script di PowerShell progettato per iniettare FrameworkPOS “lsass.exe” e di escludere alcuni specifici processi di Trinità targeting per evitare di causare interruzioni — il che è particolarmente importante quando una campagna basata sulla covert furto, piuttosto che danni.
CNET: NOI e l’intelligenza alleati prendono di mira le aziende di tecnologia su la crittografia
“Mentre alcune di queste tattiche, tecniche e procedure (TTPs) possono essere effetti collaterali di strumenti FIN6 attori, o specifico per l’ambiente in cui gli attori erano operativo, crediamo che molte rappresentano nuovi TTPs che potrebbe diventare la caratteristica evoluto FIN6 procedure operative standard,” dicono i ricercatori.
Non è noto quante aziende possono diventare vittime nell’ultima campagna.
I terminali PoS sono un grande business, considerando i preziosi dati finanziari che raccolgono. Un certo numero di gravi vulnerabilità recentemente sono stati trovati in mobili più diffusi sistemi PoS offerti dai fornitori Quadrata, SumUp, iZettle, e PayPal, che potrebbe consentire a mercanti senza scrupoli a rubare i dati della carta di credito da parte di clienti.
Precedente e relativa copertura
Facebook “war room” caccia e distrugge elezione ingerenza, di false notizie di Questo malware si traveste da banca di sicurezza per razziare il tuo account di Google campus di sicurezza porta sabbiato spalancata dal suo ingegnere
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0