hedeflemesi ödeme işlem sistemleri için bilinen NewPoSThings malware yeni bir varyant vahşi yayımlandı. Tehdit yüksek sürüm numaraları ile 64 bit makinelerde yöneliktir Bu kez.
Araştırma en son POS zararlı yazılım sürümü örneklerini tespit gösteriyor 3.0 Ocak ayının sonunda bu yıl derlenmiştir; önceki sürümler - Aralık ayında 2014.
Arbor Networks geçen yıl Eylül ayında NewPoSThings kötü amaçlı yazılım bildirdi. İleri analizler tehdit aktif en az Ekim ayından bu yana geliştirilmiştir gösterdi 2013.
POS Malware Java Updater gibi pozlar
Sistem mimarisi kontrolü çalıştırmak için kullanılan malware Önceki sürümleri ve durumda bir 64 bit makine saptandı, makineyi çıkıldı. Bu gibi durumlarda, tehdit enfeksiyonu neden başarısız korsanları haberdar. Uzmanlar inanıyoruz o zaman.
Kurulduktan, kötü amaçlı yazılım aşağıdaki görevleri yerine:
- JavaUpdate.exe sürecini Değiştirilen
- kayıt bir başlangıç öğesi olarak kendini eklendi. İsim, kullanılan tehdit “Java Güncelleme Yöneticisi oldu.”
söylendiğine göre, NewPoSThings yeni sürümü uzaktan yönetici yazılım için şifreleri arar (WinVNC, RealVNC, Sıkı). Bu bilgiler Arbor Ağı ve Trend Micro hem de analistler tarafından onaylandıktan.
öyle sonraki şey PoS cihaz tarafından işlenen kredi kartı bilgileri bulmak amacıyla faaliyetini kazıma hafızayı başlamaktır. Araştırmacılar ayrıca keylogging etkinliği tespit ettik.
NewPoSThings Malware Yeni Özellikler
Trend Micro'nun Jay Yaneza göre, Etkilenen makine internete bağlı olup olmadığını, keylogger C ile iletişim kurar&C sunucusu her beş dakikada. veri her on dakikada dumping işlemi için hazırlanır eğer transferi iplik doğrular.
Windows üzerinde belirli uzantıları için güvenlik uyarıları devre dışı bırakılmasına ilişkin yapılandırmasını içeren dosyasının yolunu tamamen gizli 3.0 versiyon.
Diğer Yeni özelliklerinden bazıları:
- Windows ile uyumluluk 7 bilgisayarlar
- analizini önlemek için belli tedbirler ekler
- Özel bir balyalayıcıyı kullanır
Yaneza sürüm 2.x numuneleri keylogging işlevselliği ile donatılmış bir arka kapı ile gelen ve başlayabilirsiniz bildirir / VNC oturumu durdurmak. aynı web kamerası için de geçerli, burada bir mevcut olduğu.
arka kapı da tehlikeye makinede çalışan süreçleri tarar ve C bir rapor gönderir&C sunucusu.
Yaneza eklediği yeni NewPoSThings PoS zararlı yazılım sürümünü kontrol ederken, O ABD'de iki havaalanlarından IP adreslerinden gelen komuta kontrol sunucusuna bağlanmaya çalışılırken tehdit benekli.