تهدیدی به نام LockPoS برای پایانه‌های فروش

[ad_1]

بدافزار جدیدی با نام LockPoS پایانه‌های فروش برزیل را هدف قرار داده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اخیراً بدافزاری بر روی پایانه‌های فروش کشف شده که توسط یک بارگیری‌کننده بر روی سامانه‌ هدف بارگیری و نصب می‌شود. این تهدید جدید با کارگزارهای دستور و کنترل متعلق به بات‌نت Flokibot ارتباط داشته و در پویش‌هایی کشور برزیل را هدف قرار داده‌است. این بدافزار LockPoS نام داشته و آخرین‌بار در ماه ژوئن کامپایل شده و از یک بارگیری‌کننده برای تزریق خود در پردازه‌ explorer.exe استفاده‌می‌کند.

پس از اینکه بدافزار به‌طور دستی بارگذاری و نصب شد، بارگیری‌کننده با بازیابی یک پرونده‌ منبع به کار خود ادامه می‌دهد. این منبع دارای چندین مؤلفه است که به پردازه‌explorer.exe تزریق می‌شوند که قادر خواهدبود به‌عنوان بارگیری‌کننده‌ مرحله‌ دوم مورد استفاده قرار بگیرد. در ادامه نیز رمزگشایی، خارج کردن از حالت فشرده و بارگذاری بار داده‌ نهایی LockPoS را انجام می‌دهد.

محققان با تجزیه‌وتحلیل بر روی این بدافزار متوجه شدند که برای مبهم‌سازی برخی از رشته‌های مهم از XOR و کلید A استفاده می‌کند. بدافزار همچنین یک پیکربندی اولیه را به‌طور رمزنگاری‌نشده و با ساختار باینری ذخیره می‌کند. بدافزار با کارگزار دستور و کنترل از طریق پروتکل HTTP ارتباط برقرار می‌کند. اطلاعاتی که برای کارگزار ارسال می‌شود حاوی نام کاربری، نام رایانه و شناسه‌ بات، نسخه‌ بات، پردازنده، حافظه‌ فیزیکی، دستگاه‌های نمایش، نسخه‌ ویندوز و معماری آن است.

محققان امنیتی توضیح دادند: «قابلیت سرقت اطلاعات کارت‌های اعتباری از پایانه‌های فروش در این بدافزار بسیار مشابه سایر بدافزارهای این حوزه است. این بدافزار حافظه‌ مربوط به سایر برنامه‌های در حال اجرا را پویش می‌کند تا مطابقت‌ها و داده‌هایی مشابه شماره‌ کارت‌های اعتباری را به سرقت ببرد.»

تاکنون این بدافزار توسط بات‌نت Flokibot توزیع شد و به نظر می‌رسد عوامل هر دوی آنها یکی است. به دلیل اینکه بات‌نت Flokibot با این کارگزار دستور و کنترل، کاربران برزیلی را هدف قرار داده، محققان معتقدند که بدافزار LockPoS نیز دستگاه‌های موجود در برزیل را آلوده کرده‌است.

[ad_2]

لینک منبع

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *