Eine neue Variante des NewPoSThings Malware für die Ausrichtung der Zahlungsabwicklung Systeme bekannt, in die Freiheit entlassen worden. Dieses Mal die Bedrohung auf 64-Bit-Maschinen mit hoher Versionsnummern gerichtet.
Die Forschung zeigt, dass die zuletzt erkannten Proben von PoS Malware Version 3.0 haben am Ende Januar dieses Jahres zusammengestellt; früheren Versionen - im Dezember 2014.
Arbor Networks berichtete die NewPoSThings Malware im September letzten Jahres. Eine weitere Analyse zeigte, dass die Bedrohung wurde aktiv, da zumindest Oktober entwickelten 2013.
POS-Malware-Haltungen wie Java Updater
Frühere Versionen der Malware verwendet werden, um eine Überprüfung der Systemarchitektur laufen und im Fall einer 64-Bit-Rechner erkannt wurde, sie die Maschine verlassen. In solchen Fällen, die Bedrohung informiert die Hacker, warum die Infektion versagt. Experten gehen davon aus, dass zum Zeitpunkt.
Einmal installiert, die Malware ausgeführt folgende Aufgaben:
- Ersetzt die JavaUpdate.exe Prozess
- Sich als Startpunkt in der Registrierung hinzugefügt. Der Name, die Bedrohung eingesetzt war "Java Update Manager.”
Wie verlautet, die neue Version des NewPoSThings sucht Kennwörter für remote admin Software (WinVNC, RealVNC, TightVNC). Diese Informationen wurden von Analysten sowohl Arbor Netzwerk- und Trend Micro bestätigt.
Das nächste, was sie tut, ist, um die Speicher Schaben Aktivität, um Kreditkarteninformationen von der POS-Gerät verarbeitet zu finden starten. Die Forscher haben auch Keylogger-Aktivität festgestellt.
Die neuen Funktionen des NewPoSThings Malware
Laut Trend Micro Jay Yaneza, wenn das betroffene Gerät mit dem Internet verbunden ist, der Keylogger kommuniziert mit dem C&C-Server alle fünf Minuten. Die Übertragungskette überprüft, ob die Daten für die exfiltration Prozess alle zehn Minuten hergestellt.
Der Pfad zu der Datei, die die Konfiguration zur Deaktivierung Sicherheitswarnungen für spezifische Erweiterungen unter Windows enthält, ist in der vollständig ausgeblendet 3.0 Version.
Weitere neue Funktionen sind::
- Kompatibilität mit Windows 7 Computer
- Fügt bestimmte Maßnahmen zur Analyse zu vermeiden
- Verwendet eine benutzerdefinierte Packer
Yaneza berichtet, dass Version 2.x Proben sind mit einer Hintertür mit Keylogger-Funktionalität ausgestattet und kann Starten / Stoppen des VNC-Sitzung. Das gleiche gilt für die Web-Kamera, falls einer vorhanden ist.
Die Backdoor scannt auch die Prozesse auf dem angegriffenen Computer ausgeführt und sendet einen Bericht an das C&C-Server.
Yaneza fügt hinzu, dass bei der Inspektion die neue NewPoSThings PoS Malware Version, er die Bedrohung versucht, auf die Steuerung und Kontrolle von Server-IP-Adressen von zwei Flughäfen in den USA verbinden gesichtet.