En ny variant af NewPoSThings malware kendt for målretning betaling systemer er blevet frigivet i naturen. Denne gang truslen er rettet mod 64-bit maskiner med høj versionsnumre.
Forskning viser, at de senest detekterede prøver af PoS malware udgave 3.0 er udarbejdet i slutningen af januar i år; tidligere versioner - i januar 2014.
Arbor Networks rapporterede NewPoSThings malware i september sidste år. Yderligere analyse viste, at truslen er blevet udviklet aktivt i hvert fald siden oktober 2013.
PoS Malware Poses som Java-opdatering
Tidligere versioner af malware bruges til at køre en kontrol af systemets arkitektur og i tilfælde en 64-bit maskine blev påvist, det ud af maskinen,. I sådanne tilfælde, truslen informerede hackere hvorfor infektionen mislykkedes. Eksperter mener, at på det tidspunkt.
Når det er installeret, malware udførte følgende opgaver:
- Erstattet af JavaUpdate.exe processen
- Tilføjet selv som en start post i registreringsdatabasen. Navnet, den anvendte trussel var "Java Update Manager.”
Angiveligt, den nye version af NewPoSThings søger efter adgangskoder til remote admin software (WinVNC, RealVNC, TightVNC). Disse oplysninger er blevet bekræftet af analytikere på både Arbor Netværk og Trend Micro.
Næste ting det gør, er at starte hukommelse skrabning aktivitet for at finde betalingskortoplysninger behandles af producentorganisationerne enhed. Forskere har også opdaget keylogging aktivitet.
De nye funktioner i NewPoSThings Malware
Ifølge Trend Micros Jay Yaneza, hvis den berørte maskinen er forbundet til internettet, keylogger kommunikerer med C&C server hvert femte minut. Overførslen tråd undersøger, om dataene er forberedt til udsivning processen hvert tiende minut.
Stien til fil, der indeholder konfigurationen til deaktivering sikkerhedsadvarsler til specifikke udvidelser på Windows er helt skjult i 3.0 udgave.
Andre nye funktioner omfatter:
- Kompatibilitet med Windows 7 computere
- Tilføjer visse foranstaltninger for at undgå analyse
- Bruger en brugerdefineret packer
Yaneza rapporterer, at versionen 2.x prøverne kommer med en bagdør udstyret med keylogging funktionalitet og kan starte / stoppe VNC session. Det samme gælder for web-kamera, i tilfælde af en er til stede.
Den bagdør scanner også de processer, der kører på kompromitteret maskine og sender en rapport til C&C server.
Yaneza tilføjer, at mens inspicere nye NewPoSThings PoS malware-version, han spottet truslen forsøger at oprette forbindelse til kommando og kontrol-server fra IP-adresser på to lufthavne i USA.