Una nuova variante del malware NewPoSThings nota per il targeting sistemi di elaborazione dei pagamenti è stato rilasciato in natura. Questa volta la minaccia è diretta a macchine a 64 bit con un numero elevato di versione.
La ricerca mostra che il più recente rilevato campioni di PoS versione di malware 3.0 sono stati compilati alla fine di gennaio di quest'anno; versioni precedenti - nel mese di dicembre 2014.
Arbor Networks ha riferito il NewPoSThings di malware nel mese di settembre dello scorso anno. Un'ulteriore analisi ha mostrato che la minaccia è stata sviluppata attivamente almeno dal Ottobre 2013.
PoS Malware Poses come Java Updater
Le versioni precedenti del malware utilizzato per eseguire un controllo dell'architettura del sistema e, in caso è stato rilevato un computer a 64 bit, è uscita la macchina. In tali casi, la minaccia ha informato gli hacker perché l'infezione non è riuscita. Gli esperti ritengono che, al momento.
Una volta installato, il malware effettuato le seguenti operazioni:
- Sostituito il processo JavaUpdate.exe
- Si aggiunto come elemento di avvio nel Registro di sistema. Il nome, la minaccia usata era "Java Update Manager.”
Secondo quanto riferito, la nuova versione di NewPoSThings cerca password per il software di amministrazione remota (WinVNC, RealVNC, TightVNC). Questa informazione è stata confermata dagli analisti sia a Arbor Network e Trend Micro.
La prossima cosa che fa è quello di iniziare la memoria raschiando l'attività al fine di trovare informazioni sulla carta di pagamento elaborate dal dispositivo POS. I ricercatori hanno anche rilevato l'attività di keylogging.
Le nuove caratteristiche del NewPoSThings Malware
Secondo Trend Micro Jay Yaneza, se la macchina interessata è connesso a Internet, il keylogger comunica con la C&Server C ogni cinque minuti. Il filo di trasferimento verifica se i dati vengono preparati per il processo di exfiltration ogni dieci minuti.
Il percorso del file che contiene la configurazione per disattivare gli avvisi di sicurezza per le estensioni specifiche per Windows è completamente nascosto nella 3.0 versione.
Altre nuove funzionalità includono:
- Compatibilità con Windows 7 computer
- Aggiunge alcune misure per evitare analisi
- Utilizza un software personalizzato
Yaneza riferisce che i campioni versione 2.x sono dotati di una backdoor dotata di funzionalità di keylogging e possono avviare / fermare la sessione VNC. Lo stesso vale per la webcam, in caso uno è presente.
La backdoor analizza anche i processi in esecuzione sulla macchina compromessa e invia una relazione al C&Server C.
Yaneza aggiunge che durante il controllo della nuova NewPoSThings PoS versione di malware, vide la minaccia tenta di connettersi al server di comando e controllo da indirizzi IP dei due aeroporti negli Stati Uniti.