AbaddonPOS, novi POS malver, se širi preko MS Word dokumenata i kompromitovanih sajtova

Opisi virusa, 17.11.2015, 01:00 AM

AbaddonPOS, novi POS malver, se širi preko MS Word dokumenata i kompromitovanih sajtova

Istraživači kompanije Proofpoint otkrili su novu vrstu PoS (Point of Sale) malvera koja dolazi u paketu sa bankarskim trojancem Vawtrack.

Malver je nazvan Abaddon POS i deo je kompleksne infrastrukture za isporuku malvera koja uključuje bankarskog trojanca Vawtrack, exploit alat Angler, malver poznat po prevarama sa oglasima Bedep, malver Pony koji krade informacije i downloader TinyLoader.

Infekcija se obično dešava preko Microsoft Word dokumenata, koji su često sajber kriminalcima omiljeno sredstvo za širenje malvera, koje je u ovom slučaju odgovorno za infekciju malverom Pony.

Drugi način za infekciju se oslanja na maliciozne web sajtove koje žrtve posećuju i na kojima se nalazi verzija exploit alata Angler koji inficira računare žrtava malverom Bedep.

Ova dva malvera, Pony i Bedep, osim što i sami prave štetu zaraženim računarima, uspostavljaju vezu sa komandno-kontrolnim serverom (C&C server) i zatim preuzimaju downloader , koji je poznat po svojoj ekstremno maloj veličini od svega 5Kb zbog čega je i nazvan TinyLoader. Jedini zadatak ovog malvera je da preuzima druge malvere sa C&C servera.

TinyLoader preuzima AbaddonPOS.

Analizom koda novog POS malvera, istraživači Proofpointa su otkrili da se malver ponaša slično kao i drugi tipični POS malveri specijalizovani za krađu podataka o transakcijama kreditnih i debitnih kartica. Kao i drugi malveri ove vrste, i ovaj pokušava da izbegne detekciju i analizu istraživača koristeći različite tehnike.

Analizirajući kod malvera, istraživači su zaključili da postoji mnogo sličnosti između malvera AbaddonPOS i TinyLoader. Zbog toga što koriste iste tehnike koje otežavaju analizu koda, istraživači Proofpointa sumnjaju da su autori ove dve familije malvera isti ljudi.

Praksa isporuke nekoliko malvera kako bi se u samo jednoj kampanji povećala ciljna grupa i rezultati kampanje, nije nova. Isporuka POS malvera na ovaj način nije uobičajena, ali s obzirom da predstoji period pretpraznične kupovine sajber kriminalci imaju dovoljno razloga da se potrude da njihove kampanje budu maksimalno profitabilne, što je verovatni razlog zbog koga su se odlučili za distribuciju ovog novog, moćnog POS malvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje