Ένα malware ανακαλύφθηκε πρόσφατα για PoS συστήματα από ερευνητές ασφαλείας, οι οποίοι λένε ότι ενσωματώνει κώδικα από δύο άλλες απειλές του ίδιου είδους, τo Dexter και το Chewbacca.
Το νέο δείγμα ανακαλύφθηκε από το VirusTotal, και ο Nick Χόφμαν, reverse engineer στο CBTS, λέει ότι είναι ένα αρκετά νέο στέλεχος.
Το κακόβουλο λογισμικό που ονομάστηκε LusyPoS είχε αναφερθεί στην υπηρεσία Google Scanning στις 30 Νοεμβρίου, καθώς εντοπίστηκε μόνο από επτά από τις 54 μηχανές antivirus. Ωστόσο ορισμένα από τα προϊόντα ασφαλείας στην πραγματικότητα εντόπισαν το ενσωματωμένο Tor component και όχι την ίδια την απειλή.
Η απειλή είναι μεγαλύτερη σε μέγεθος από άλλες παρόμοιες απειλές
Σύμφωνα με τον μηχανικό, το LusyPoS είναι αρκετά «βαρύ» και συγκεκριμένα είναι 4MB σε μέγεθος, ενώ άλλα malwares μπορεί να έχουν το μέγεθος των 17kB (όπως Getmypass PoS, ανακαλύφθηκε επίσης από Hoffman).
Για λόγους σύγκρισης, το BlackPoS, που είναι υπεύθυνο για την περσινή παραβίαση της Target, είναι λίγο πάνω από τα 250kb σε μέγεθος. Το Framework PoS, το οποίο χρησιμοποιήθηκε για την υποκλοπή οικονομικών πληροφοριών από την Home Depot, είναι περίπου 130kb μεγάλο και το περίφημο Backoff, που επηρέασε περισσότερο από 1.000 επιχειρήσεις στις ΗΠΑ, είναι περίπου 75kB σε μέγεθος.
Αναφερόμενος στις ομοιότητες μεταξύ του LusyPoS και άλλων κακόβουλων προγράμματων, ο Χόφμαν, ανέφερε σε ένα blog post τη Δευτέρα ότι το LusyPoS είναι “ένας περίεργος συνδυασμός από τη συμπεριφορά τύπου-Dexter που αναμιγνύεται με τεχνικές τύπου-Chewbacca”.
Ο κώδικας και οι τεχνικές του δεν είναι πρωτότυπες
Τα strings που βρέθηκαν κατά τo reverse engineering είναι παρόμοια με εκείνα του Dexter, ενώ η σύνδεση με το δίκτυο Tor είναι χαρακτηριστικό του Chewbacca.
Ο κώδικας στο LusyPoS περιέχει πληροφορίες σχετικά με C&C servers, καθώς και ένα κατάλογο των διαδικασιών που πρέπει να ελέγχουν τη μνήμη των συσκευών για οικονομικές πληροφορίες.
Το malware βασίζεται, επίσης, σε κλειδιά μητρώου, προκειμένου να επιτευχθεί η παραμονή του στο σύστημα που επηρεάζεται. Σύμφωνα με τον ερευνητή, ο κώδικας είναι παρόμοιος με αυτόν που είναι διαθέσιμος στο Dexter PoS malware.
Μια άλλη ομοιότητα με τα άλλα PoS malwares είναι η χρήση του αλγόριθμου Luhn για την επαλήθευση των πληροφοριών. Ο Hoffman λέει ότι “ο αλγόριθμος Luhn είναι ο defacto αλγόριθμος για την επικύρωση αριθμών πιστωτικών καρτών” και χρησιμοποιείται επίσης στο Framework POS, στο Dexter, και στο Getmypass.
Δεν είναι ασυνήθιστο για τους κυβερνοεγκληματίες να παίρνουν strings από malware του οποίου ο κώδικας έχει διαρρεύσει στο διαδίκτυο και να τον εισάγουν σε δικό τους κακόβουλο λογισμικό.
