FireEye發(fā)現(xiàn)新型POS惡意軟件NitlovePoS
責(zé)編:mhshi |2015-05-28 09:16:57FireEye研究人員發(fā)現(xiàn)了一種通過垃圾郵件使用新的POS惡意軟件NitlovePoS,它可以捕獲和跟蹤支付卡行為,并掃描已經(jīng)感染的機(jī)器。
FireEye宣稱,黑客們搞了一個新花樣,他們使用帶有敏感字眼的郵件主題來吸引人們的眼球:如找工作、空缺職位、實習(xí)、招聘、就業(yè)簡歷之類。這些釣魚郵件從5月20號開始,向向眾人的郵箱批量轟炸。在郵件里可能會附帶一個名為“CV_XXXX(四位數(shù)字)。doc”附件,或者“My_Resume_xxxx(四位數(shù)字)。doc”附件。這類附件文檔乍一看有點像投來的簡歷,其實它只是宏病毒。如果受害者打開了該文檔,并啟用了宏。這時,宏病毒會自動下載執(zhí)行一個來自80.242.123.155/exe/dro.exe的惡意exe文件。當(dāng)下,這場釣魚活動還在持續(xù)進(jìn)行,其中附帶下載的惡意軟件也在不斷的更新。
FireEye的專家說,“為了欺騙受害人打開文檔,該文檔會偽裝自己為‘保護(hù)文檔(protected document)’。然而我們沒有被表象所迷惑,而是把關(guān)注重點更多的放在了‘pos.exe’上,也就是NitlovePoS,大家都懷疑它是針對POS機(jī)的病毒。我們推測,一旦攻擊者選定了受害人,它就可以遠(yuǎn)程控制受害人機(jī)器下載POS機(jī)病毒。我們在監(jiān)測時,發(fā)現(xiàn)在眾多的exe下載鏈接中,只有三條鏈接是下載的pos.exe。”
機(jī)器被感染后,惡意軟件會把自己添加到注冊表啟動項里。NitlovePoS運行時,需使用“-”加參數(shù)才能正常運行,否則它不會有任何惡意行為。這個特殊的性能可以幫助它繞過一些簡單的安全檢測,特別是那些針對自動化檢查的安全軟件。
ireEye表示,“如果給NitlovePoS設(shè)置了正確的參數(shù),NitlovePoS會在內(nèi)存中解碼,并開始尋找支付卡相關(guān)的數(shù)據(jù)。如果沒有成功,它會休眠五分鐘,然后繼續(xù)開始嘗試。”
NitlovePoS軟件不算特別,自2015年開始已經(jīng)出現(xiàn)了大量POS惡意軟件,比如Punkey和FighterPOS。
FireEye的專家提醒,“我們需要知道的是,我們已經(jīng)有不少辦法來保護(hù)POS機(jī)環(huán)境。比如說下一代防火墻,它就使用了網(wǎng)絡(luò)隔離技術(shù)。下一代防火墻(NGFW)的關(guān)鍵優(yōu)勢在于,它們提供了網(wǎng)絡(luò)隔離,將應(yīng)用服務(wù)器和數(shù)據(jù)根據(jù)不同的風(fēng)險點和安全級別進(jìn)行劃分并做嚴(yán)密的訪問控制。”
隨著POS惡意軟件的廣泛使用,它們也更加容易被發(fā)現(xiàn)和檢測。另外,隨著新技術(shù)的發(fā)展,就算不同惡意軟件有著一定的相似性,想要檢測出新的變種仍然是比較困難的。所以,網(wǎng)絡(luò)犯罪卻由此也有了新的希望,功能相似的新版本POS惡意軟件也會繼續(xù)出現(xiàn),以滿足網(wǎng)絡(luò)犯罪市場的需求。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧