Kriminalci šalju spam emailove sa novim PoS malverom NitlovePOS

Opisi virusa, 27.05.2015, 08:00 AM

Kriminalci šalju spam emailove sa novim PoS malverom NitlovePOS

Sajber kriminalci napadaju zaposlene koji surfuju internetom ili proveravaju svoje emailove sa PoS (point-of-sale) kompjutera, što je veoma rizična ali ne i neuobičajena praksa.

Istraživači iz firme FireEye nedavno su otkrili spam emailove koje navodno šalju osobe koje traže posao, sa biografijama koje su formi Word dokumenata sa malicioznom macro skriptom za koju je podrška po defaultu isključena u Microsoft Officeu. Ako je omogućeno pokretanje, macro instalira program koji preuzima dodatne malware sa udaljenog servera.

Da bi prevarili potencijalne žrtve da omoguće ovu funkcionalnost, kriminalci koriste trik - tvrdnju da je dokument zaštićen te da je potrebno slediti dato uputstvo da bi sadržaj bio dostupan.

Inicijalni payload ima nekoliko ažuriranja, da bi izbegao detekciju. Na serveru koji kontaktira nalazi se više od deset malvera, od kojih je svaki prilagođen određenim žrtvama.

Među tim malicioznim programima identifikovan je novi memory-scarping malver koji krade podatke o platnim karticama sa PoS terminala. Nova pretnja nazvana je NitlovePOS, a na pomenutom serveru nalazi se pod imenom pos.exe.

U ovom PoS malveru nalaze se tri pretnje, pokazala je analiza istraživača. Jedna je za bezbednu komunikaciju sa C&C serverom koji se nalazi u Rusiji, jedna za čuvanje podataka o karticama i jedna za izvlačenje podataka o karticama iz procesa u memoriji računara.

PoS malveri postali su uobičajena pretnja prethodnih nekoliko godina i doveli do nekih od najozbiljnijih kompromitovanja podataka o kreditnim karticama. Ova vrsta malicioznih programa je korišćena za krađu podataka o 56 miliona platnih kartica iz američke kompanije Home Depot prošle godine, i 40 miliona kartica iz Targeta krajem 2013.

Kada se instaliraju na PoS terminalima, ovi programi skeniraju memoriju sistema tražeći podatke o karticama dok prolaze od čitača kartice do specijalizovane trgovačke aplikacije. Kriminalci mogu koristiti ukradene podatke da bi napravili kopije kompromitovanih kartica.

Napadači obično inficiraju PoS sisteme malverom uz pomoć pristupnih kredencijala koji su ili ukradeni ili ih je lako pogoditi. Drugi način je da se kompomituju drugi kompjuteri koji su na istoj mreži kao terminali i zatim da se napadnu terminali.

Međutim, neobično je videti PoS malver koji se širi preko spama, kao što je to slučaj sa malverom NitlovePOS, posebno kao deo veće kampanje distribucije različitih malvera. Ovo ukazuje da sajber kriminalci traže načine da iskoriste situacije kada zaposleni koriste Windows PoS terminale za proveru svojih email naloga ili druge rizične aktivnosti.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje