En ny variant av NewPoSThings malware kjent for målretting betaling systemer har blitt utgitt i naturen. Denne gangen trusselen er rettet mot 64-bits maskiner med høy versjonsnumre.
Forskning viser at de mest nylig oppdaget prøver av PoS malware versjon 3.0 er utarbeidet i slutten av januar i år; tidligere versjoner - i desember 2014.
Arbor Networks rapporterte NewPoSThings malware i september i fjor. Videre analyser viste at trusselen har vært aktivt utviklet minst siden oktober 2013.
PoS Malware Poses som Java Updater
Tidligere versjoner av malware som brukes til å kjøre en sjekk av systemarkitektur og i tilfelle en 64-bits maskin ble oppdaget, det ut av maskinen. I slike tilfeller, trusselen informert hackere hvorfor infeksjonen mislykkede. Eksperter mener at på den tiden.
Når programmet er installert, malware utført følgende oppgaver:
- Erstattet JavaUpdate.exe prosess
- Lagt seg som et oppstartselement i registeret. Navnet, trusselen som ble brukt var "Java Update Manager.”
Velig, den nye versjonen av NewPoSThings søker etter passord for fjern admin programvare (WinVNC, RealVNC, TightVNC). Denne informasjonen har blitt bekreftet av analytikere hos både Arbor Network og Trend Micro.
Neste ting den gjør er å starte minne skraping aktivitet for å finne betalingskortinformasjon behandlet av PoS enhet. Forskere har også oppdaget keylogging aktivitet.
De nye funksjonene i NewPoSThings Malware
Ifølge Trend Micros Jay Yaneza, hvis den berørte maskinen er koblet til Internett, keylogger kommuniserer med C&C server hvert femte minutt. Overføringen tråden bekrefter om dataene er forberedt på exfiltration prosessen hvert tiende minutt.
Banen til filen som inneholder konfigurasjonen for å deaktivere sikkerhetsvarsler for spesifikke utvidelser på Windows er helt skjult i 3.0 versjon.
Andre nye funksjoner inkluderer:
- Kompatibilitet med Windows 7 datamaskiner
- Legger visse tiltak for å unngå analyse
- Bruker et egendefinert packer
Yaneza melder at versjon 2.x prøvene kommer med en bakdør utstyrt med keylogging funksjonalitet og kan starte / stoppe VNC sesjon. Det samme gjelder for web-kamera, i tilfelle man er til stede.
Bakdør skanner også prosesser som kjører på den kompromitterte maskinen og sender en rapport til C&C-serveren.
Yaneza legger til at mens inspisere den nye NewPoSThings PoS malware versjon, han oppdaget trusselen prøver å koble til kommando og kontroll server fra IP-adressene til to flyplasser i USA.