AbaddonPOS, novi POS malver, se širi preko MS Word dokumenata i kompromitovanih sajtova

Opisi virusa, 17.11.2015, 01:00 AM

AbaddonPOS, novi POS malver, se širi preko MS Word dokumenata i kompromitovanih sajtova

Istraživači kompanije Proofpoint otkrili su novu vrstu PoS (Point of Sale) malvera koja dolazi u paketu sa bankarskim trojancem Vawtrack.

Malver je nazvan Abaddon POS i deo je kompleksne infrastrukture za isporuku malvera koja uključuje bankarskog trojanca Vawtrack, exploit alat Angler, malver poznat po prevarama sa oglasima Bedep, malver Pony koji krade informacije i downloader TinyLoader.

Infekcija se obično dešava preko Microsoft Word dokumenata, koji su često sajber kriminalcima omiljeno sredstvo za širenje malvera, koje je u ovom slučaju odgovorno za infekciju malverom Pony.

Drugi način za infekciju se oslanja na maliciozne web sajtove koje žrtve posećuju i na kojima se nalazi verzija exploit alata Angler koji inficira računare žrtava malverom Bedep.

Ova dva malvera, Pony i Bedep, osim što i sami prave štetu zaraženim računarima, uspostavljaju vezu sa komandno-kontrolnim serverom (C&C server) i zatim preuzimaju downloader , koji je poznat po svojoj ekstremno maloj veličini od svega 5Kb zbog čega je i nazvan TinyLoader. Jedini zadatak ovog malvera je da preuzima druge malvere sa C&C servera.

TinyLoader preuzima AbaddonPOS.

Analizom koda novog POS malvera, istraživači Proofpointa su otkrili da se malver ponaša slično kao i drugi tipični POS malveri specijalizovani za krađu podataka o transakcijama kreditnih i debitnih kartica. Kao i drugi malveri ove vrste, i ovaj pokušava da izbegne detekciju i analizu istraživača koristeći različite tehnike.

Analizirajući kod malvera, istraživači su zaključili da postoji mnogo sličnosti između malvera AbaddonPOS i TinyLoader. Zbog toga što koriste iste tehnike koje otežavaju analizu koda, istraživači Proofpointa sumnjaju da su autori ove dve familije malvera isti ljudi.

Praksa isporuke nekoliko malvera kako bi se u samo jednoj kampanji povećala ciljna grupa i rezultati kampanje, nije nova. Isporuka POS malvera na ovaj način nije uobičajena, ali s obzirom da predstoji period pretpraznične kupovine sajber kriminalci imaju dovoljno razloga da se potrude da njihove kampanje budu maksimalno profitabilne, što je verovatni razlog zbog koga su se odlučili za distribuciju ovog novog, moćnog POS malvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams,... Dalje