Novi POS malver, LusyPOS, prodaje se kriminalcima za 2000 dolara

Opisi virusa, 02.12.2014, 22:01 PM

Novi POS (point-of-sales) malver dizajniran za krađu informacija sa kreditnih i debitnih kartica prodaje se na crnom tržištu po ceni od 2000 dolara. Sličan malver nazvan BlackPOS, korišćen je u napadu na kompaniju Target prošle godine, što je za posledicu imalo krađu 40 miliona platnih kartica.

Malver koji je nazvan LucyPOS, pronađen je na VirusTotalu, Googleovom besplatnom online skeneru kome se mogu podneti uzorci kako bi se proverilo da li će neki od nekoliko desetina antivirusnih programa VirusTotala detektovati fajl kao maliciozan.

Malver se reklamira na web sajtu na kome se mogu kupiti i prodati ukradeni podaci platnih kartica.

LusyPOS funkcioniše tako što inficira POS uređaje u maloprodajnim objektima i zatim izvlači podatke sa platnih kartica koje na kratko drži u memoriji uređaja pre nego što ih šifruje i pošalje udaljenom severu, kome napadači pristupaju i tako dolaze do ukradenih podataka.

Malver su analizirali stručnjaci američke firme CBTS iz Ohaja, Nik Hofman i Džeremi Hambl, koji su zaključili da LusyPOS ima neke sličnosti sa drugim poznatim POS malverima, kao što su Dexter i Chewbacca. Lusy POS je, prema rečima Hofmana, "neobična mešavina ponašanja malvera Dexter sa tehnikama malvera Chewbacca".

LusyPOS se od srodnih malvera razlikuje po veličini. Veličina malvera je 4MB, što je značajno više od malvera BlackPOS (250KB), malvera Framework POS koji je korišćen u napadu na Home Depot (130KB) i čuvenog malvera Backoff koji je pogodio više od 1000 firmi u SAD (75KB).

LusyPOS deli sa malverom Dexter deo izvornog koda, dok je njegovo povezivanje sa C&C serverom preko Tor mreže karakteristika malvera Chewbacca. Kod LusyPOS sadrži informacije o serverima za komandu i kontrolu (C&C), kao i listu procesa koje treba proveriti u memoriji u potrazi za finansijskim informacijama.

Kda je reč o RAM scarpingu, malver ne koristi neku svoju originalnu tehniku, već onu koju koriste i drugi RAM scarperi. LusyPOS koristi Luhn algoritam za proveru informacija koji je, prema rečima Hofmana "zapravo algoritam za proveru brojeva kreditnih kartica", koji takođe koriste FrameworkPOS, Dexter i Getmypass.

Istraživači kažu da nije neuobičajeno za autore malvera da pozajmljuju kod drugih programa da bi napravili sopstveni program koji će im doneti zaradu. Kriminalcima nije bitno da li će pozajmiti ceo malver ili samo njegove najbolje delove, sve dok im to omogućava da brzo naprave svoj alat koji će im se isplatiti.

Uzorak malvera LusyPOS podnet je VirusTotalu 30. novembra, kada ga je detektovalo samo sedam antivirusa. Neki antivirusi su detektovali LucyPOS zbog toga što malver koristi Tor da bi sakrio svoju komunikaciju sa serverom.

Hofman i Hambl su nedavno otkrili još jedan novi POS malver, koji je nazvan Getmypass, ali je on još uvek u fazi razvoja. Getmypass ima neke funkcije koje imaju i drugi POS malveri, ali mu nedostaje funkcionalnost za komandu i kontrolu koju hakeri koriste da bi upravljali malverom.