安全研究人员发现威胁组FIN8在两年后以一种名为Badhatch的新销售点(PoS)恶意软件重新出现,该恶意软件旨在窃取信用卡信息。 来自Gigamon的研究人员分析了样本并发现了与PowerSniff的相似之处,但是Badhatch具有新功能,可以扫描受害者网络,为攻击者提供远程访问权限,安装后门并提供其他经过修改的恶意软件有效负载,例如PoSlurp和ShellTea等。 功能。
Badhatch像其前身PowerSniff一样开始感染,方法是通过武器化的Word文档发送自定义的网络钓鱼电子邮件。 一旦受害者启用了宏,它将为PowerSniff执行PowerShell和Shellcode脚本,从而在该过程中安装后门。 它的网络扫描功能使其不同于PowerSniff。 它无法检查受感染的系统是否在教育或医疗保健部门。 研究人员还指出,它缺乏沙盒检测和防病毒分析规避功能,以及前身所具有的长期持久性工具。 但是,他们指出,这还具有优势,因为攻击者可以在感染后执行例程,并更好地控制恶意软件的使用方式,从而避免了自动沙盒功能。
[阅读:RawPOS:新行为可能会导致身份盗用]
能够使用备用命令与控制(C&C)服务器通信协议,它每五分钟与C&C连续通信以获取命令指令,并跟踪已完成的操作。
ShellTea充当了多次下载和附加代码执行的植入程序,使恶意软件成为受害者网络中的隐蔽立足点,以获取攻击者可能决定部署的更多有效负载。 它还使恶意软件能够通过其他HTTPS或DNS流量适应目标环境。
PoSlurp会刮除PoS设备处理过的信用卡数据,包括在恶意软件感染之前存储和加密的卡数据。 从受感染的系统中提取信息后,攻击者便可以脱机检查和验证数据的有效性。 PoSlurp还允许攻击者注入其他命令,访问文件,将日志文件复制回服务器以及删除日志文件等。
[阅读:MajikPOS结合了PoS恶意软件和RAT来发动其恶意技巧]
由于大多数PoS设备和系统都在Windows 7的嵌入式版本上运行,并且可能没有适用的补丁程序或防病毒产品,因此类似的简单恶意软件攻击可能仍对FIN8有利可图。 企业和用户可以通过以下最佳做法保护自己免受这些威胁的侵害: 定期监视财务和银行对账单中是否存在欺诈性购买行为。 如果用户怀疑其帐户被用于欺诈性交易,则应立即联系其银行。 在打开电子邮件附件或单击来自可疑请求的已知和未知发件人的嵌入式URL时,请务必谨慎。 如果发件人是已知联系人,请通过以前使用的通信渠道确认请求。 对于旧系统用户,请检查安全供应商提供的虚拟补丁程序。 仅限制要在系统中运行的特定软件。 安装多层保护系统,尤其是网络防御解决方案,以保护所有连接的设备。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢