Κυριακή, 22 Απρίλιος 2018, 1:13 μμ

Τερματικά PoS: σοβαρή απειλή το Trojan.MWZLesson

Ερευνητές της εταιρείας antivirus Dr.Web ανακάλυψαν ένα νέο είδος κακόβουλου λογισμικού, που έχει σχεδιαστεί για να μολύνει τερματικά point-of-sale (PoS) και είναι σε θέση να υποκλέπτει τα requests GET και POST που στέλνουν οι περιηγητές διαδικτύου των μολυσμένων μηχανημάτων. Το όνομα που του δόθηκε είναι Trojan.MWZLesson και μεταξύ άλλων, το malware μπορεί αφενός να τροποποιήσει τη registry και να ενεργοποιήσει το autorun στα μολυσμένα τερματικά PoS και αφετέρου να ελέγξει το περιεχόμενο της RAM της συσκευής για τυχόν δεδομένα πιστωτικών καρτών.

Ερευνητές της εταιρείας antivirus Dr.Web ανακάλυψαν ένα νέο είδος κακόβουλου λογισμικού, που έχει σχεδιαστεί για να μολύνει τερματικά point-of-sale (PoS) και είναι σε θέση να υποκλέπτει τα requests GET και POST που στέλνουν οι περιηγητές διαδικτύου των μολυσμένων μηχανημάτων. Το όνομα που του δόθηκε είναι Trojan.MWZLesson και μεταξύ άλλων, το malware μπορεί αφενός να τροποποιήσει τη registry και να ενεργοποιήσει το autorun στα μολυσμένα τερματικά PoS και αφετέρου να ελέγξει το περιεχόμενο της RAM της συσκευής για τυχόν δεδομένα πιστωτικών καρτών.

Το σύνολο των πληροφοριών που καταφέρνει να υποκλέψει το Trojan.MWZLesson αποστέλλεται σε έναν command and control server, όμως είναι εξίσου εφικτό το λογισμικό να εκτελέσει διαφόρων ειδών εντολές – γεγονός που το καθιστά ακόμα πιο επικίνδυνο.

Σύμφωνα με όσα αναφέρονται στο blog της Dr.Web, οι εντολές που υποστηρίζει το Trojan περιλαμβάνουν τα CMD (cmd.exe), UPDATE, FIND (αναζήτηση αρχείων με χρήση μάσκας), DDoS (πραγματοποίηση μιας επίθεσης HTTP Flood) και rate (ορισμός ενός χρονικού σημείου επικοινωνίας με τον command and control server).

Το Trojan.MWZLesson υποστηρίζει επιπλέον μια εντολή LOADER, που του επιτρέπει να κατεβάσει και να τρέξει ένα αρχείο (dll – χρησιμοποιώντας το εργαλείο regsrv, vbs – χρησιμοποιώντας το wscript, exe – που τρέχει απευθείας), και ακολούθως να επικοινωνήσει με τον server χρησιμοποιώντας το πρωτόκολλο HTTP. Τα πακέτα που στέλνονται από το malware δεν είναι κρυπτογραφημένα, όμως ο server αγνοεί εκείνα τα πακέτα που δεν περιλαμβάνουν μια συγκεκριμένη παράμετρο cookie.

Σύμφωνα πάντα με τους ερευνητές της Dr.Web, το Trojan.MWZLesson δανείζεται κώδικα που περιεχόταν στο malware Dexter (επίσης στοχεύει σε τερματικά PoS), ενώ η αρχιτεκτονική του παρουσιάζει αρκετές ομοιότητες με αυτή του Neutrino αν και πρόκειται για μια μικρότερης κλίμακας δομή του τελευταίου.

Το Trojan, τέλος, ενδέχεται να υποκλέπτει δεδομένα και από την εφαρμογή Microsoft Mail, αλλά και credentials για login σε FTP.

Τα τερματικά PoS αποτελούν έναν αρκετά συχνό στόχο των κυβερνοεγκληματιών, ενώ μόνο τον τελευταίο χρόνο “κυκλοφόρησαν” αρκετά επικίνδυνα λογισμικά όπως το PoSeidon, το Spark, το Poslogr και το POSCLOUD.

Ερευνητές της εταιρείας antivirus Dr.Web ανακάλυψαν ένα νέο είδος κακόβουλου λογισμικού, που έχει σχεδιαστεί για να μολύνει τερματικά point-of-sale (PoS) και είναι σε θέση να υποκλέπτει τα requests GET και POST που στέλνουν οι περιηγητές διαδικτύου των μολυσμένων μηχανημάτων. Το όνομα που του δόθηκε είναι Trojan.MWZLesson και μεταξύ άλλων, το malware…
Χρήσιμο
Ευανάγνωστο

User Rating: 3.9 ( 1 votes)
95

Δείτε επίσης:

Υποκλοπή του Windows κωδικού σας μέσω του Chrome

Ο ερευνητής ασφάλειας Bosko Stankovic δημοσίευσε πρόσφατα ένα άρθρο που εξηγεί πώς ένας εισβολέας θα …