A nova variante do malware NewPoSThings conhecido por sistemas de processamento de pagamento de segmentação foi libertado na natureza. Desta vez, a ameaça é dirigida a máquinas de 64 bits com números alta versão.
A pesquisa mostra que o detectado mais recentemente amostras de PoS versão malwares 3.0 foram compilados no final de janeiro deste ano; versões anteriores - em dezembro 2014.
Arbor Networks relatou o malware NewPoSThings em setembro do ano passado. Outras análises mostraram que a ameaça foi desenvolvido ativamente, pelo menos desde outubro 2013.
PoS Malware Poses como Java Updater
As versões anteriores do malware usado para executar uma verificação da arquitetura do sistema e, em caso foi detectado uma máquina de 64 bits, ele saiu da máquina. Em tais casos, a ameaça informou os hackers porque a infecção falhadas. Especialistas acreditam que, no momento.
Uma vez instalado, o malware realizadas as seguintes tarefas:
- Substituiu o processo JavaUpdate.exe
- Adicionado si como um item de inicialização no registro. O nome, a ameaça utilizada foi "Manager Java Update.”
Alegadamente, a nova versão do NewPoSThings procura por senhas para software de administração remota (WinVNC, RealVNC, TightVNC). Esta informação foi confirmada por analistas, tanto a Arbor Rede e Trend Micro.
A próxima coisa que ele faz é para começar a memória atividade raspando a fim de encontrar informações de cartão de pagamento processadas pelo dispositivo PoS. Os pesquisadores também detectaram atividade keylogging.
Os novos recursos do NewPoSThings Malware
De acordo com a Trend Micro Jay Yaneza, se a máquina afectada está ligado à Internet, o keylogger se comunica com o C&C servidor a cada cinco minutos. O segmento de transferência verifica se os dados são preparados para o processo exfiltration cada dez minutos.
O caminho para o arquivo que contém a configuração para desabilitar alertas de segurança para extensões específicas sobre o Windows é completamente escondido no 3.0 versão.
Outras novas funcionalidades incluem:
- Compatibilidade com o Windows 7 informática
- Adiciona certas medidas para evitar análise
- Usa um empacotador personalizado
Yaneza relata que amostras versão 2.x vêm com um backdoor equipado com funcionalidade keylogging e pode iniciar / parar a sessão VNC. O mesmo vale para a câmera web, no caso de um está presente.
O backdoor também verifica os processos em execução na máquina comprometida e envia um relatório ao C&Servidor C.
Yaneza acrescenta que ao inspecionar o novo NewPoSThings PoS versão malwares, ele viu a ameaça tentando se conectar ao servidor de comando e controle de endereços IP dos dois aeroportos em os EUA.