ظهور بدافزار جدید LockPoS در حوزه‌ی پایانه‌های فروش

ظهور بدافزار جدید LockPoS در حوزه‌ی پایانه‌های فروش

ظهور بدافزار جدید LockPoS در حوزه‌ی پایانه‌های فروش

پس از چند موج حمله ی بدافزار و باج افزار، به تازگی بدافزاری بر روی پایانه‌های فروش کشف شده که توسط یک بارگیری‌کننده بر روی سامانه‌ی هدف بارگیری و نصب می‌شود. این تهدید جدید با کارگزارهای دستور و کنترل متعلق به بات‌نت Flokibot ارتباط داشته و در پویش‌هایی کشور برزیل را هدف قرار داده است. این بدافزار LockPoS نام داشته و آخرین بار در ماه ژوئن کامپایل شده و از یک بارگیری‌کننده برای تزریق خود در پردازه‌ی explorer.exe استفاده می‌کند.

برخی خصوصبت های بدافزار LockPoS

 

بدافزار به‌طور دستی بارگذاری و نصب می شود. بارگیری‌کننده با بازیابی یک پرونده‌ی منبع به کار خود ادامه می‌دهد. این منبع دارای چندین مؤلفه است که به پردازه‌ی explorer.exe تزریق می‌شوند که قادر خواهد بود به‌عنوان بارگیری‌کننده‌ی مرحله‌ی دوم مورد استفاده قرار بگیرد. در ادامه نیز رمزگشایی، خارج کردن از حالت فشرده و بارگذاری بار داده‌ی نهایی LockPoS را انجام می‌دهد.

ظهور بدافزار جدید LockPoS در حوزه‌ی پایانه‌های فروش

نحوه فعالیت این بدافزار به گزارش کارشناسان امنیتی Arbor network ، به‌گونه‌ای است که برای مبهم‌سازی برخی از رشته‌های مهم از XOR و کلید A استفاده می‌کند. بدافزار همچنین یک پیکربندی اولیه را به‌طور رمزنگاری‌نشده و با ساختار باینری ذخیره می‌کند. پس از به دست گرفتن مرکز کنترل و فرماندهی بدافزار نام‌برده پس از ارتباط با سرور C & C از طریق پروتکل HTTP پس از آلوده کردن سیستم، اطلاعاتی را برای کارگزار ارسال می‌کند که عبارتند از: نام کاربری، نام رایانه و شناسه‌ی بات، نسخه‌ی بات، پردازنده، حافظه‌ی فیزیکی، صفحه‌نمایش دستگاه‌های متصل، نسخه‌ی ویندوز و معماری آن. در این میان از دیگر قابلیت‌های این بدافزار می‌توان به استفاده از الگوریتم MD5 برای هش کردن اطلاعات استفاده می‌کند.

 ظهور بدافزار جدید LockPoS در حوزه‌ی پایانه‌های فروش

محققان امنیتی توضیح دادند: «قابلیت سرقت اطلاعات کارت‌های اعتباری از پایانه‌های فروش در این بدافزار بسیار مشابه سایر بدافزارهای این حوزه است. این بدافزار حافظه‌ی مربوط به سایر برنامه‌های در حال اجرا را پویش می‌کند تا مطابقت‌ها و داده‌هایی مشابه شماره‌ی کارت‌های اعتباری را به سرقت ببرد.» تاکنون این بدافزار توسط بات‌نت Flokibot توزیع شده و به نظر می‌رسد عوامل هر دوی آن‌ها یکی است. به دلیل اینکه بات‌نت Flokibot با این کارگزار دستور و کنترل، کاربران برزیلی را هدف قرار داده، محققان معتقدند که بدافزار LockPoS نیز دستگاه‌های موجود در کشور برزیل را آلوده کرده است.

منبع :

www.news.asis.io

www.bartarinha.ir

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *