Een nieuwe variant van de NewPoSThings malware bekend voor het richten van de verwerking van betalingen systemen is vrijgelaten in het wild. Dit keer is de dreiging is gericht op 64-bit machines met hoge versienummers.
Onderzoek toont aan dat de meest recent ontdekte monsters van PoS malware versie 3.0 zijn opgesteld aan het einde van januari van dit jaar; eerdere versies - in december 2014.
Arbor Networks meldde de NewPoSThings malware in september vorig jaar. Nadere analyse toonde aan dat de dreiging is actief ontwikkeld sinds minstens oktober 2013.
PoS Malware Poses als Java Updater
Vorige versies van de malware gebruikt om een controle van het systeem architectuur draaien en in het geval van een 64-bit machine werd gedetecteerd, Het verlaten van de machine. In dergelijke gevallen, de dreiging van de hackers waarom de infectie niet op de hoogte. Experts geloven dat op het moment.
Eenmaal geïnstalleerd, de malware verricht de volgende taken:
- Verving de JavaUpdate.exe proces
- Zelf toegevoegd als een item voor opstarten in het register. De naam, de dreiging gebruikt was "Java Update Manager.”
Naar Verluidt, de nieuwe versie van NewPoSThings zoekt naar wachtwoorden voor remote beheer-software (WinVNC, RealVNC, TightVNC). Deze informatie werd bevestigd door analisten van zowel Arbor Network en Trend Micro.
Volgende wat het doet is om het geheugen schrapen activiteit om de betaling card gegevens verwerkt door de POS-apparaat vinden beginnen. Onderzoekers hebben ook ontdekt keylogging activiteit.
De nieuwe functies van de NewPoSThings Malware
Volgens Trend Micro's Jay Yaneza, indien de betrokken machine is aangesloten op het internet, de keylogger communiceert met de C&C-server om de vijf minuten. De draad overdracht controleert of de gegevens wordt voorbereid voor de exfiltratie proces om de tien minuten.
Het pad naar het bestand dat de configuratie voor beveiligingswaarschuwingen voor specifieke uitbreidingen op Windows uitschakelen bevat is volledig verborgen in de 3.0 versie.
Andere nieuwe functionaliteiten:
- Compatibiliteit met Windows 7 computers
- Voegt een aantal maatregelen om de analyse te vermijden
- Maakt gebruik van een aangepaste packer
Yaneza meldt dat versie 2.x monsters komen met een backdoor uitgerust met keylogging functionaliteit en kan starten / stoppen van de VNC sessie. Hetzelfde geldt voor de webcam, indien deze aanwezig is.
De backdoor scant ook de processen die op de besmette machine en stuurt een verslag aan de C&C server.
Yaneza voegt eraan toe dat bij het inspecteren van de nieuwe NewPoSThings PoS malware versie, hij de bedreiging probeert te maken met de command and control server vanaf IP-adressen van de twee luchthavens in de VS gespot.