FighterPOS的功能跟我們過去所看到的其他PoS惡意軟體家族類似。它可以收集信用卡磁軌1,磁軌2和CVV碼。該惡意軟體還包含記憶體擷取功能,這在許多PoS惡意軟體家族中都很常見。此外,它的鍵盤側錄功能讓攻擊者可以側錄受感染終端上的按鍵紀錄。
趨勢科技已經確認一個銷售終端(PoS- Point of Sale)惡意軟體家族:「FighterPOS」影響了超過100家的巴西受害組織。這波個人行動已經竊取了超過22,000筆不重複的信用卡號碼。
其作者似乎在卡片、支付詐騙和惡意軟體製造上有很長的歷史;此外,我們認為此惡意軟體作者是獨立運作,沒有任何同夥協助。FighterPOS 並不便宜,目前售價是18比特幣(約為5,250美元)。然而,它有精心設計的控制台且支援多種功能,對攻擊者來說具有相當的誘因。
本文中會概述 FighterPOS 的行為,相關報告 – 「FighterPOS:新POS惡意軟體攻擊活動的解析和運作」會提供更多技術細節。
購買
乍一看,此廣告並非特別不尋常。引起我們的興趣的是廣告和其惡意軟體支援功能的專業性質。
圖1、銷售FighterPOS的廣告
控制台和惡意軟體目前以18.3823比特幣的價格出售,大約是5,250美元。雖然這可能看起來很貴,但是很有機會把錢賺回來。買方可以馬上就轉售收到的每筆信用卡資料或留待以後使用。如果買家想要額外的執行檔和控制台,作者會收取額外的800美元。
圖2、FighterPOS控制台
作者使用名稱cardexpertdev,在廣告裡明確指出該執行檔並非完全無法偵測(FUD),並指出使用者需要利用加密服務來確保惡意軟體無法被防毒軟體偵測。這在建立PoS惡意軟體時很常見,加密服務在傳統上被用來繞過許多防禦安全機制。
FighterPOS並非cardexpertdev所賣唯一跟信用卡詐騙相關的產品。他也販賣信用卡號碼、EMV晶片記錄程式及其他類似的詐騙相關產品及工具給其他網路犯罪分子。
受害者
從C&C伺服器取得的資料顯示FighterPOS感染了大約113台PoS終端,其中90%以上在巴西。其他系統感染證據也在包括美國、墨西哥、意大利和英國發現。
圖3、FighterPOS影響機器的分布
總之,受感染系統已經在一個月間送出22,112筆不重複的信用卡轉儲資料(二月底至4月初)給FighterPOS操作者。許多FighterPOS的受害者是Linx MicroVix或Linx POS系統用戶 – 兩者都是巴西流行的套件。
FighterPOS功能
FighterPOS的功能跟我們過去所看到的其他PoS惡意軟體家族類似。它可以收集信用卡磁軌1,磁軌2和CVV碼。該惡意軟體還包含記憶體擷取功能,這在許多PoS惡意軟體家族中都很常見。此外,它的鍵盤側錄功能讓攻擊者可以側錄受感染終端上的按鍵紀錄。記憶體擷取功能的程式碼跟NewPosThings內的類似。
有兩個惡意軟體樣本吸引了我們的注意,一個是IE.exe(MD5雜湊值:55fb03ce9b698d30d946018455ca2809,偵測為TSPY_POSFIGHT.SM)和IEx.exe(MD5雜湊值:55fb03ce9b698d30d946018455ca2809),兩者都連到位於hxxp://ctclubedeluta.org/的C&C伺服器。
兩個樣本都用Visual Basic 6開發,儘管Visual Basic 6已經被認為過時而老舊,但用這種語言編寫的程式依然可以運作,即便是在完全更新過的系統上。
有人可能會問,為什麼一個「新」PoS惡意軟體家族會建立在像Visual Basic這樣的舊平台上。我們認為,這是因為FighterPOS程式碼並非全新的。相反地,是改寫vnLoader惡意軟體(針對殭屍網路)來加入PoS專用功能。它保留了其「Botnet傀儡殭屍網路」的功能,包括:
- 惡意軟體自動更新
- 檔案下載和執行
- 送出信用卡資料
- 送出鍵盤側錄資料
- 網路第7層或第4層的DDoS攻擊
DDoS能力有效地將此POS惡意軟體家族變成對準買家來說靈活且具備吸引力的工具。
結論
FighterPOS是一個全功能的惡意軟體,使用強大加密來精心研製。支援多種方式來與C&C基礎設施連線。它的鍵盤側錄功能可以進行DDoS攻擊和完全控制受害者機器。目前,我們估計每個受感染機器送回十個新信用卡號碼給攻擊者。
趨勢科技持續地評估此一威脅,而且不僅研究惡意軟體家族,也研究其C&C基礎設施。監測和驗證終端活動來發現可能的感染活動, 趨勢科技的Deep Discovery Inspector可以使用下面列出的入侵指標,C&C伺服器和網站。
入侵指標
| SHA1 | MD5 | 時間 | 大小(bytes) | DDI偵測名稱 |
| 0aea8f97ecbd4b9dbdae 336f7310d35af8883bae |
b0416d389b0b59776fe4c4ddeb407239 | 2/4/2015 21:29 | 618,496 | TSPY_POSFIGHT.SM |
| 30628221ab520b3e6d86 9bdeb619ef157103c227 |
e3db204be71efe8a41d949f2d3fdfa18 | 3/27/2015 23:01 | 618,496 | TSPY_POSFIGHT.SM |
| 4482823a86dca8613ea5 b7daeca23c950e6d9291 |
e29d9560b6fcc14290f411eed9f4ff4f | 9/8/2014 17:37 | 143,360 | HTTP Download Executable File |
| 76e8b0f54cea080e9321 18cd203b459a479170a8 |
55fb03ce9b698d30d946018455ca2809 | 2/10/2015 17:55 | 618,496 | TSPY_POSFIGHT.SM |
| a106bba216f71f468ae7 28c3f9e1db587500c30b |
6cb50f7f2fe6f69ee8613d531e816089 | 11/24/2014 17:21 | 178,688 | TSPY_POSFIGHT.B |
| c04b07467a962f34f893 932422ca29f2cfdc938b |
e647b892e3af16db24110d0e61a394c8 | 3/4/2015 20:54 | 618,496 | TSPY_POSFIGHT.SM |
| fe13b63feb1fee2d8ff2 6368e8e690dd9c19c70c |
7b011dea4cc53c1099365e0b5dc23558 | 2/21/2015 13:37 | 618,496 | TSPY_POSFIGHT.SM |
| 00aec55105f241f49318 8993d1558d7e2aacaafc |
af15827d802c01d1e972325277f87f0d | 1/28/2015 12:06 | 614,400 | TSPY_POSFIGHT.SM |
| 28157df6c45cf2f6f40c 884ed7e06ab4f2b4d874 |
361b6fe6f602a771956e6a075d3c3b78 | 12/19/2014 0:53 | 581,632 | TSPY_POSFIGHT.SM |
| 4411c502f3348233022b 77bb4624ae81c72416af |
b99cab211df20e6045564b857c594b71 | 2/4/2015 16:37 | 618,496 | TSPY_POSFIGHT.SM |
我們看到使用了以下C&C伺服器和網站
- 69[點]195[點]77[點]74
- ctclubedeluta[點]org
- msr2006[點]biz
- sitefmonitor[點]com
@原文出處:One-Man PoS Malware Operation Captures 22,000 Credit Card Details in Brazil
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
◎ 歡迎加入趨勢科技社群網站
