Novi POS malver, LusyPOS, prodaje se kriminalcima za 2000 dolara

Opisi virusa, 02.12.2014, 22:01 PM

Novi POS malver, LusyPOS, prodaje se kriminalcima za 2000 dolara

Novi POS (point-of-sales) malver dizajniran za krađu informacija sa kreditnih i debitnih kartica prodaje se na crnom tržištu po ceni od 2000 dolara. Sličan malver nazvan BlackPOS, korišćen je u napadu na kompaniju Target prošle godine, što je za posledicu imalo krađu 40 miliona platnih kartica.

Malver koji je nazvan LucyPOS, pronađen je na VirusTotalu, Googleovom besplatnom online skeneru kome se mogu podneti uzorci kako bi se proverilo da li će neki od nekoliko desetina antivirusnih programa VirusTotala detektovati fajl kao maliciozan.

Malver se reklamira na web sajtu na kome se mogu kupiti i prodati ukradeni podaci platnih kartica.

LusyPOS funkcioniše tako što inficira POS uređaje u maloprodajnim objektima i zatim izvlači podatke sa platnih kartica koje na kratko drži u memoriji uređaja pre nego što ih šifruje i pošalje udaljenom severu, kome napadači pristupaju i tako dolaze do ukradenih podataka.

Malver su analizirali stručnjaci američke firme CBTS iz Ohaja, Nik Hofman i Džeremi Hambl, koji su zaključili da LusyPOS ima neke sličnosti sa drugim poznatim POS malverima, kao što su Dexter i Chewbacca. Lusy POS je, prema rečima Hofmana, "neobična mešavina ponašanja malvera Dexter sa tehnikama malvera Chewbacca".

LusyPOS se od srodnih malvera razlikuje po veličini. Veličina malvera je 4MB, što je značajno više od malvera BlackPOS (250KB), malvera Framework POS koji je korišćen u napadu na Home Depot (130KB) i čuvenog malvera Backoff koji je pogodio više od 1000 firmi u SAD (75KB).

LusyPOS deli sa malverom Dexter deo izvornog koda, dok je njegovo povezivanje sa C&C serverom preko Tor mreže karakteristika malvera Chewbacca. Kod LusyPOS sadrži informacije o serverima za komandu i kontrolu (C&C), kao i listu procesa koje treba proveriti u memoriji u potrazi za finansijskim informacijama.

Kda je reč o RAM scarpingu, malver ne koristi neku svoju originalnu tehniku, već onu koju koriste i drugi RAM scarperi. LusyPOS koristi Luhn algoritam za proveru informacija koji je, prema rečima Hofmana "zapravo algoritam za proveru brojeva kreditnih kartica", koji takođe koriste FrameworkPOS, Dexter i Getmypass.

Istraživači kažu da nije neuobičajeno za autore malvera da pozajmljuju kod drugih programa da bi napravili sopstveni program koji će im doneti zaradu. Kriminalcima nije bitno da li će pozajmiti ceo malver ili samo njegove najbolje delove, sve dok im to omogućava da brzo naprave svoj alat koji će im se isplatiti.

Uzorak malvera LusyPOS podnet je VirusTotalu 30. novembra, kada ga je detektovalo samo sedam antivirusa. Neki antivirusi su detektovali LucyPOS zbog toga što malver koristi Tor da bi sakrio svoju komunikaciju sa serverom.

Hofman i Hambl su nedavno otkrili još jedan novi POS malver, koji je nazvan Getmypass, ali je on još uvek u fazi razvoja. Getmypass ima neke funkcije koje imaju i drugi POS malveri, ali mu nedostaje funkcionalnost za komandu i kontrolu koju hakeri koriste da bi upravljali malverom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje