גרסה חדשה של התוכנה הזדונית NewPoSThings ידוע למערכות עיבוד תשלומים מיקוד שוחררה בטבע. הפעם האיום מופנה כלפי מכונות 64-bit עם מספרי הגירסות הגבוהות.
מחקרים מראים כי דגימות מזוהות ולאחרונה גרסת זדוניות POS 3.0 נערך בסוף ינואר השנה; בגירסאות קודמות - בדצמבר 2014.
רשתות ארבור דיווח על תוכנות זדוניות NewPoSThings בחודש ספטמבר בשנה שעברה. ניתוח נוסף הראה כי האיום פותח באופן פעיל מאז לפחות אוקטובר 2013.
קופת Malware מתחזה Java Updater
גירסאות קודמות של תוכנות זדוניות נהגה לנהל את הסימון של ארכיטקטורת המערכת ובמקרה מכונה 64 סיביות אותרה, זה יצא המכונה. במקרים כאלו, האיום הודיע האקרים מדוע הזיהום נכשל. מומחים מאמינים כי בזמן.
לאחר התקנה, התוכנות הזדוניות בצעו את המשימות הבאות:
- החליף את תהליך JavaUpdate.exe
- נוסף עצמו כפריט הפעלה ברישום. השם, האיום בשימוש היה "מנהל עדכון Java.”
על פי דיווחים, הגרסה החדשה של NewPoSThings מחפש סיסמאות עבור תוכנת הניהול מרחוק (WinVNC, RealVNC, TightVNC). מידע זה אושר על ידי האנליסטים בשני Network ארבור ו- Trend Micro.
הדבר הבא שהוא עושה זה כדי להפעיל את זיכרון גירוד פעילות כדי למצוא את פרטי כרטיס תשלום מעובדים על ידי מכשיר POS. החוקרים גם גילו פעילות keylogging.
התכונות החדשות של NewPoSThings Malware
לדברי של טרנד מיקרו ג'יי Yaneza, אם המכונה המושפע מחובר לאינטרנט, את keylogger מתקשר עם C&C לשרת כל חמש דקות. העברת חוט מוודאת הנתונים מוכנים לתהליך exfiltration כל עשר דקות.
השביל אל הקובץ שמכיל את תצורת השבתת התראות אבטחה עבור תוספים ספציפיים Windows מוסתר לחלוטין 3.0 גרסה.
פונקציות חדשות אחרות כוללות:
- תאימות עם Windows 7 מחשבים
- מוסיף אמצעים מסוימים כדי למנוע ניתוח
- שימושים פקר מנהג
Yaneza מדווח כי דגימות 2.x הגרסה מגיעות עם דלת אחורית מצוידות פונקציונלי keylogging ויכולות להתחיל / לעצור את הפעלת VNC. כנ"ל לגבי מצלמת האינטרנט, במקרה אחד נמצא.
הדלת האחורית גם סורקת את התהליכים הפועלים במחשב הנפגע ושולחת דו"ח C&שרת C.
Yaneza מוסיף כי ובוחן את גרסת תוכנה זדונית קופת NewPoSThings החדשה, הוא זיהה את האיום מנסה להתחבר לשרת שליטה ובקרה מכתובות IP של שני נמלי התעופה בארה"ב.