设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

新型恶意软件TreasureHunt已瞄准零售商和银行

2016-4-1 08:11| 发布者: 随便、先森。| 查看: 1040| 评论: 0|来自: FreeBuf

摘要: 近日,FireEye发现了一种新型POS机恶意软件,同时该恶意软件已经将目标转移至零售商和银行。恶意软件被发现FireEye安全专家发现的恶意软件被称为TreasureHunt或TreasureHunter,该恶意软件可以窃取用户的信用卡信息 ...

近日,FireEye发现了一种新型POS机恶意软件,同时该恶意软件已经将目标转移至零售商和银行。

恶意软件被发现

FireEye安全专家发现的恶意软件被称为TreasureHunt或TreasureHunter,该恶意软件可以窃取用户的信用卡信息然后在地下黑市出售窃取到的用户信息。安全研究人员根据证据表明该恶意软件可以追溯到2014年,最开始TreasureHunt是由SANS institute安全研究人员发现的,该恶意软件创建互斥体的来躲避杀软。美国零售商和商家的支付标准都是EMV支付标准,被不少人认为安全性极高。 2015年美国开始全面升级POS,突然加速银行卡EMV迁移,将原来读卡机更换为与EMV IC卡相容的读卡机。

然而,POS向EMV靠拢零售商需投入资金,有些零售商对EMV标准在认识上还有偏见,据Ponemon 调查,在美国小型零售商店中仍然有三分之二POS继续在使用磁卡加签名的支付方法。而值得注意的是,在测试以及技术方面的费用也是不容小视的。2016年美国零售业POS升级空间很大,但困难也不少。IHS估计美国零售业POS全面完成银行卡EMV迁移,进行卡片与设备更换改造,还存在180亿到200亿美元的资金缺口。

而银行也不得不升级自己的系统来满足EMV支付。不幸的是,已经有不少犯罪团伙开始注意到了这一点,并且开始对小型银行以及零售商下手。TreasureHunt就是这样的恶意软件工具,很显然已经有组织开始下手了。该恶意软件在受感染的设备上运行,然后记录信用卡信息,被窃取的信用卡信息发送到C&C服务器。博客中称:

“在本文中我们会一起来看看TREASUREHUNT,该POS机恶意软件似乎已经被设置在特定的场合运行,然后出售窃取到的信用卡数据。该恶意软件会枚举当前进程,然后窃取用户数据,然后将这些信息发送到C&C服务器。”

恶意软件作者被发现

FireEye安全专家认为该恶意软件窃取凭证,然后感染目标设备,并安装在“%APPDATA%”目录下,在通过创建注册表项来寄存在设备中:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheck

FireEye安全研究人员Nart Villeneuve在博客中称:

“恶意软件扫描所有正在运行的进程,但却忽略了几个进程包括System33、SysWOW64、 \Windows\explorer.exe,然后开始收集用户信用卡信息,然后将数据发送到服务器上。”

而目前收集的恶意软件样本显示的创建时间都是2014年10月19日,虽然样本的创建时间都差不多,但第一次注意到是在2015年11月25日和2016年3月3日之间,而新版本的变化是利用NTFS文件。

系统的ADS特性,配置信息在“%USERPROFILE%\ntuser.ini”,在0.1.1版本中发现了这些信息:

TreasureHunter version 0.1.1 Alpha, created by Jolly Roger

([email protected]) for BearsInc. Greets to Xylitol and co

Jolly Roge似乎是恶意软件的作者,另一个成员BearsInc可能已经在黑市出售信用卡数据了。

*参考来源:securityaffairsfireeye,FB小编亲爱的兔子编译


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部