Nova variante de vírus que infecta máquina de cartão

Pesquisadores da Trend Micro descobriram uma  variante do NewPosThings PoS de malware projetado para roubar cartões de pagamento e outros dados confidenciais de 64 bits.

Pesquisadores da Trend Micro identificaram uma nova estirpe do  NewPosThings  (PoS) malwares ponto-de-venda. A nova variante do malware NewPosThings é uma versão do NewPosThings de 64 bits, um ponto-de-venda ( PoS ) de malware descoberto por especialistas da Arbor Networks, em setembro de 2014. Os peritos confirmaram que o malware estava em desenvolvimento desde outubro de 2013, uma vez que então muitas variantes foram detectadas na natureza, incluindo última variante que foi projetado para arquiteturas de 64 bits.

A variante mais recente, NewPosThings 3.0, implementa um empacotador personalizado e novos mecanismos anti-depuração.

NewPosThings malware projetado para roubar cartões de pagamento  de dados e outras informações sensíveis a partir da máquina alvo através de raspagem de memória, ele também tem a capacidade de colher a entrada do usuário.

A variante NewPosThings, codificado como TSPY_POSNEWT. SM , se instala na máquina da vítima usando nomes diferentes que aparecem familiar para os usuários, incluindo javaj.exe, vchost.exe, dwm.exe, ism.exe e isasss.exe.

Como explicado na análise publicada por TrendMicro, a escolha do nome não é casual, mas é o resultado de um algoritmo que calcula com base na informação relacionada com a máquina infectada como o seu nome e o número de série do volume.

Para obter persistência no alvo, NewPosThings usou uma entrada de registro com o nome de "Java Update Manager".

NewPosThings persistência

Uma vez infectado o alvo, o NewPosThings inicia recolha de dados sensíveis, incluindo senhas de rede de computação virtual software (VNC), como UltraVNC, RealVNC, WinVNC e TightVNC. Em seguida, o malware desativa as mensagens de aviso utilizados pelo sistema operacional para determinadas extensões de arquivos, incluindo .exe, .bat, .reg e .vbs. .exe, .bat, .reg e .vbs.

"Desativação do Aberto Aviso de segurança do arquivo da Microsoft Windows reduz a postura geral de segurança do sistema operacional hospedeiro Microsoft Windows. Isso ocorre porque o sistema não solicita ao usuário para validação quando abrindo arquivos que poderiam ter sido baixados de fontes mal-intencionados ", diz o post publicado pela Trend Micro.

O NewPosThings verifica a presença de software financeiro na máquina de destino, quando reconhece o processo associado que procurar padrões que poderiam estar associados com números de cartões de crédito / débito e, como outros tipos de malware usa o algoritmo Luhn para validar os dados.

O mesmo algoritmo foi utilizado para validação do número do cartão por recentemente descobertos Poseidon  e Soraya códigos maliciosos.

NewPosThings transferências de dados para o comando e controle (C & C) do servidor a cada 10 minutos. Os dados coletados são enviados para o servidor via HTTP.

Entre os servidores C & C utilizados pelos autores de malware também existem endereços IP associados com dois aeroportos dos Estados Unidos.

"Ao analisar os servidores C & C utilizados pelo PoS Trojan, os especialistas identificaram endereços IP associados a dois aeroportos nos Estados Unidos. Trend Micro PoS Trojan, os especialistas identificaram endereços IP associados a dois aeroportos nos Estados Unidos. Trend Micro  alertou que os viajantes serão cada vez mais alvos e que os aeroportos são um ambiente rico em alvos ".

Sem dúvidas, malware PoS está se tornando ainda mais popular no submundo do crime e especialista esperar um aumento na sua utilização nos próximos meses.

Pierluigi Paganini