僵尸网络分发销售终端恶意软件 FlokiBot 已经从几个月的沉睡中苏醒, 并再次以新的姿态回到了大众的视线中——LockPoS。研究人员说, 这个新恶意软件由于进行了版本更新,可以绕过许多防病毒和入侵检测系统。
LockPoS PoS机恶意软件出现
目前, 根据Arbor的推断,LockPoS 被认为是base在巴西的公司。 研究人员说, 他们最近注意到这个 pos 恶意软件是因为观测到,原来被FlokiBot攻击的已休眠的C&C服务器又重新上线了。Arbor Network的研究员Dennis Schwarz在博客文章中写道。
"一个已经休眠了相当一段时间的 C2 服务器突然上线, 并开始分发一些看起来像是新品种的 pos 恶意软件, 我们称之为 LockPoS,"
LockPoS 和 FlokiBot 之间的联系也仅仅只有这些。这两种恶意软件之间唯一的相似之处是, 他们是以销售终端为目标, 并共享相同的僵尸网络分发机制。FlokiBot 即时是销售终端恶意软件的名称,也是分发僵尸网络的名称。
上一次 FlokiBot 被新闻报道还是 2016年12月, 当时 Cisco Talos 和Flashpoint的研究人员报告说, 暗网犯罪论坛上的恶意软件数量增加, 且其对美国、加拿大和巴西的银行以及保险公司的攻击增加。
Arbor网络说, 目前还不清楚 LockPoS 行动的规模, 以及有多少系统可能受到恶意软件的影响。分析的样本表明LockPoS 的作者最近一次编译是在6月24日。
LockPoS PoS机恶意软件的运作机制缺乏新意
与其他销售终端恶意软件样本类似, LockPoS 在目标 pc 上使用第一阶段和第二阶段的dropper, 最终提交LockPoS 负载。
它是通过使用 api 哈希 (CRC32 用作哈希函数) 来解决多个 windows 函数而开始的。生成的文件是一个可执行程序, 并具有以下调试字符串: C:\Users\Admin\Desktop\key\dropper\Release\dropper.pdb
Schwarz说 LockPoS 混淆了可以提示恶意软件功能的重要字符串。至于谁是幕后主使者, 研究人员说他们并不知道。
"目前还不清楚 LockPoS 是否是与某个威胁分子相关的恶意软件, 或者它是否会在像 Flokibot 这样的地下论坛上出售。"
奇怪的是, LockPoS 和另一个曾经被称为Treasurehunt的零售终端恶意软件共享同一 C2 服务器。
"根据他们对C2服务器的通信机制、面板和其他IoC的研究看来, LockPoS 和 Treasurehunt 是两种不同的恶意软件。"
Schwarz说, LockPoS没有什么 "高度先进" 的技术 , 但到目前为止, 各种销售终端恶意软件对酒店、餐馆和零售业的攻击还没有停止。考虑到这一点, 他说, "LockPoS 缺乏新意可能是一个争论点。”
原文发布时间:2017年7月14日
本文由:threatpost发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/new-pos-malware-lockpos#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
