En ny variant av NewPoSThings malware kända för inriktning betalningshantering system har släppts i det vilda. Denna gång hotet är riktad mot 64-bitars maskiner med hög versionsnummer.
Forskning visar att den senast upptäckta prover av PoS malware version 3.0 har sammanställts i slutet av januari i år; tidigare versioner - I december 2014.
Arbor Networks rapporterade NewPoSThings skadlig kod i september förra året. Ytterligare analyser visade att hotet har aktivt utvecklats sedan åtminstone oktober 2013.
PoS Malware Poses som Java Updater
Tidigare versioner av skadliga program används för att köra en kontroll av systemarkitekturen och i det fall en 64-bitars maskin detekterades, det matats ut ur maskinen. I sådana fall, hotet informerade hackare varför infektionen misslyckades. Experter tror att det vid tidpunkten.
En gång installerat, skadlig kod som utförs följande uppgifter:
- Ersatte JavaUpdate.exe processen
- Lagt sig som en startobjekt i registret. Namnet, hotet som användes var ”Java Update Manager.”
Enligt uppgift, den nya versionen av NewPoSThings söker efter lösenord för fjärradministrations programvara (WinVNC, RealVNC, TightVNC). Denna information har bekräftats av analytiker på både Arbor Network och Trend Micro.
Nästa sak som det gör är att starta minnes skrapa aktivitet för att hitta betalningskortuppgifter behandlas av POS-anordningen. Forskare har också upptäckts keylogging aktivitet.
De nya funktionerna i NewPoSThings Malware
Enligt Trend Micros Jay Yaneza, Om den drabbade maskinen är ansluten till Internet, keylogger kommunicerar med C&C server var femte minut. Överföringstråden verifierar om data förbereds för exfiltration processen var tionde minut.
Vägen till den fil som innehåller konfigurationen för att inaktivera säkerhetsvarningar för specifika förlängningar på Windows är helt dold i 3.0 version.
Andra nya funktioner inkluderar:
- Kompatibilitet med Windows 7 datorer
- Lägger vissa åtgärder för att undvika analys
- Använder en anpassad packer
Yaneza rapporterar att version 2.x prover kommer med en bakdörr utrustad med keylogging funktionalitet och kan starta / stoppa VNC session. Samma sak gäller för webbkameran, i fall man är närvarande.
Bakdörren skannar också de processer som körs på den infekterade maskinen och sänder en rapport till C&C-server.
Yaneza tillägger att även inspektera den nya NewPoSThings PoS malware version, han såg hotet försöker ansluta till kommandot och styrservern från IP-adresserna för två flygplatser i USA.