Une nouvelle variante du malware de NewPoSThings connu pour ciblant les systèmes de traitement des paiements a été libéré dans la nature. Cette fois, la menace est dirigée vers les machines 64 bits avec des numéros de version haute.
La recherche montre que le plus récemment détecté des échantillons de logiciels malveillants PoS Version 3.0 ont été compilées à la fin de Janvier de cette année; versions antérieures - en Décembre 2014.
Arbor Networks a signalé l'NewPoSThings logiciels malveillants en Septembre l'année dernière. Une analyse plus poussée a montré que la menace a été développé activement depuis au moins Octobre 2013.
PoS Malware Poses que Java Updater
Les versions précédentes du logiciel malveillant utilisé pour exécuter une vérification de l'architecture du système et dans le cas d'une machine 64 bits a été détectée, il est sorti de la machine. Dans ces cas,, la menace informé les pirates pourquoi l'infection a échoué. Les experts estiment que, au moment.
Une fois installé, le malware effectue les tâches suivantes:
- Remplacé le processus JavaUpdate.exe
- Se Ajouté comme un élément de démarrage dans le registre. Le nom, la menace utilisé était «gestionnaire Java Update.”
Censément, la nouvelle version de NewPoSThings cherche les mots de passe pour le logiciel d'administration à distance (WinVNC, RealVNC, TightVNC). Cette information a été confirmée par les analystes à la fois Arbor réseau et Trend Micro.
La prochaine chose qu'il fait est de commencer la mémoire raclage activité afin de trouver des informations de carte de paiement traitées par le dispositif de PDS. Les chercheurs ont également détecté l'activité keylogging.
Les nouvelles fonctionnalités de la NewPoSThings Malware
Selon Trend Micro Jay Yaneza, si la machine affectée est connecté à l'Internet, le keylogger communique avec le C&serveur C toutes les cinq minutes. Le fil de transfert vérifie si les données sont préparées pour le processus d'exfiltration toutes les dix minutes.
Le chemin vers le fichier qui contient la configuration pour désactiver les alertes de sécurité pour les extensions spécifiques sous Windows est complètement caché dans le 3.0 version.
Autres nouvelles fonctionnalités incluent:
- Compatibilité avec Windows 7 des ordinateurs
- Ajoute certaines mesures pour éviter l'analyse
- Utilise un packer personnalisé
Rapporte que les échantillons Yaneza la version 2.x sont livrés avec une porte dérobée équipé d'une fonctionnalité de keylogging et peuvent démarrer / arrêter la session VNC. La même chose vaut pour la caméra web, dans le cas on est présent.
La porte dérobée analyse également les processus se exécutant sur la machine compromise et envoie un rapport à la C&Serveur C.
Yaneza ajoute que lors de l'inspection de la nouvelle version de logiciels malveillants NewPoSThings de PDS, il a repéré la menace d'essayer de se connecter au serveur de commande et de contrôle à partir des adresses IP des deux aéroports aux États-Unis.