Home / Malware / Other Malware news / Τερματικά PoS: σοβαρή απειλή το Trojan.MWZLesson

Τερματικά PoS: σοβαρή απειλή το Trojan.MWZLesson

Ερευνητές της εταιρείας antivirus Dr.Web ανακάλυψαν ένα νέο είδος κακόβουλου λογισμικού, που έχει σχεδιαστεί για να μολύνει τερματικά point-of-sale (PoS) και είναι σε θέση να υποκλέπτει τα requests GET και POST που στέλνουν οι περιηγητές διαδικτύου των μολυσμένων μηχανημάτων. Το όνομα που του δόθηκε είναι Trojan.MWZLesson και μεταξύ άλλων, το malware μπορεί αφενός να τροποποιήσει τη registry και να ενεργοποιήσει το autorun στα μολυσμένα τερματικά PoS και αφετέρου να ελέγξει το περιεχόμενο της RAM της συσκευής για τυχόν δεδομένα πιστωτικών καρτών.

Ερευνητές της εταιρείας antivirus Dr.Web ανακάλυψαν ένα νέο είδος κακόβουλου λογισμικού, που έχει σχεδιαστεί για να μολύνει τερματικά point-of-sale (PoS) και είναι σε θέση να υποκλέπτει τα requests GET και POST που στέλνουν οι περιηγητές διαδικτύου των μολυσμένων μηχανημάτων. Το όνομα που του δόθηκε είναι Trojan.MWZLesson και μεταξύ άλλων, το malware μπορεί αφενός να τροποποιήσει τη registry και να ενεργοποιήσει το autorun στα μολυσμένα τερματικά PoS και αφετέρου να ελέγξει το περιεχόμενο της RAM της συσκευής για τυχόν δεδομένα πιστωτικών καρτών.

Το σύνολο των πληροφοριών που καταφέρνει να υποκλέψει το Trojan.MWZLesson αποστέλλεται σε έναν command and control server, όμως είναι εξίσου εφικτό το λογισμικό να εκτελέσει διαφόρων ειδών εντολές – γεγονός που το καθιστά ακόμα πιο επικίνδυνο.

Σύμφωνα με όσα αναφέρονται στο blog της Dr.Web, οι εντολές που υποστηρίζει το Trojan περιλαμβάνουν τα CMD (cmd.exe), UPDATE, FIND (αναζήτηση αρχείων με χρήση μάσκας), DDoS (πραγματοποίηση μιας επίθεσης HTTP Flood) και rate (ορισμός ενός χρονικού σημείου επικοινωνίας με τον command and control server).

Το Trojan.MWZLesson υποστηρίζει επιπλέον μια εντολή LOADER, που του επιτρέπει να κατεβάσει και να τρέξει ένα αρχείο (dll – χρησιμοποιώντας το εργαλείο regsrv, vbs – χρησιμοποιώντας το wscript, exe – που τρέχει απευθείας), και ακολούθως να επικοινωνήσει με τον server χρησιμοποιώντας το πρωτόκολλο HTTP. Τα πακέτα που στέλνονται από το malware δεν είναι κρυπτογραφημένα, όμως ο server αγνοεί εκείνα τα πακέτα που δεν περιλαμβάνουν μια συγκεκριμένη παράμετρο cookie.

Σύμφωνα πάντα με τους ερευνητές της Dr.Web, το Trojan.MWZLesson δανείζεται κώδικα που περιεχόταν στο malware Dexter (επίσης στοχεύει σε τερματικά PoS), ενώ η αρχιτεκτονική του παρουσιάζει αρκετές ομοιότητες με αυτή του Neutrino αν και πρόκειται για μια μικρότερης κλίμακας δομή του τελευταίου.

Το Trojan, τέλος, ενδέχεται να υποκλέπτει δεδομένα και από την εφαρμογή Microsoft Mail, αλλά και credentials για login σε FTP.

Τα τερματικά PoS αποτελούν έναν αρκετά συχνό στόχο των κυβερνοεγκληματιών, ενώ μόνο τον τελευταίο χρόνο “κυκλοφόρησαν” αρκετά επικίνδυνα λογισμικά όπως το PoSeidon, το Spark, το Poslogr και το POSCLOUD.

Χρήσιμο
Ευανάγνωστο

User Rating: 3.9 ( 1 votes)

About CyberG

Check Also

Ουκρανία: Νέο κύμα ψηφιακών επιθέσεων πλήττει τη βιομηχανία ηλεκτρικής ενέργειας

Ένα νέο κύμα επιθέσεων που στοχεύει εταιρίες παροχής ηλεκτρικής ενέργειας στην Ουκρανία αποκαλύπτει η ESET. «Αυτή …

Leave a Reply

Your email address will not be published. Required fields are marked *