安全专家挖掘出新型POS恶意软件NitlovePoS

恶意软件家族真是花样百出,现如今,又出现了一个新的恶意软件–NitlovePoS,它可以捕获和跟踪支付卡行为,并扫描已经感染的机器。

新瓶装旧酒,钓鱼带来的POS恶意软件

FireEye宣称,黑客们搞了一个新花样来钓鱼,他们使用带有敏感字眼的邮件主题来吸引人们的眼球:如找工作、空缺职位、实习、招聘、简历之类云云。这些钓鱼邮件从5月20号的表白日开始,向众多屌丝的邮箱批量轰炸。在邮件里可能会附带一个CV_XXXX(四位数字)格式的doc文件,或者My_Resume_xxxx(四位数字)的doc文件。这类文档乍一看有点像投来的简历,其实它只是宏病毒。

如果受害者打开了该文档,并启用了宏。这时,宏病毒会自动下载执行一个来自80.242.123.155/exe/dro.exe的恶意exe文件。当下,这场钓鱼活动还在持续进行,其中附带下载的恶意软件也在不断的更新。

NitlovePoS的运行和免杀

FireEye的专家称:

“为了欺骗受害人打开文档,该文档会伪装自己为‘保护文档(protected document)’。

然而我们没有被表象所迷惑,而是把关注重点更多的放在了‘pos.exe’上,也就是NitlovePoS,大家都怀疑它是针对POS机的病毒。我们推测,一旦攻击者选定了受害人,它就可以远程控制受害人机器下载POS机病毒。我们在监测时,发现在众多的exe下载链接中,只有三条链接是下载的pos.exe。”

机器被感染后,恶意软件会把自己添加到注册表启动项里。NitlovePoS运行时,需使用“-”加参数才能正常运行,否则它不会有任何恶意行为。这个特殊的性能可以帮助它绕过一些简单的安全检测,特别是那些针对自动化检查的安全软件。

FireEye表示:

“如果给NitlovePoS设置了正确的参数,NitlovePoS会在内存中解码,并开始寻找支付卡相关的数据。如果没有成功,它会休眠五分钟,然后继续开始尝试。”

同类POS恶意软件的前景

NitlovePoS软件不算特别,自2015年开始已经出现了大量POS恶意软件,比如Punkey和FighterPOS。

FireEye的专家提醒说:

“咱们的读者需要知道的是,我们已经有不少办法来保护POS机环境。比如说下一代防火墙,它就使用了网络隔离技术。

下一代防火墙(NGFW)的关键优势在于,它们提供了网络隔离,将应用服务器和数据根据不同的风险点和安全级别进行划分并做严密的访问控制。”

随着POS恶意软件的散布,它们也更加容易被发现和检测。另外,随着新技术的发展,就算不同恶意软件有着一定的相似性,想要检测出新的变种仍然是比较困难的。所以,网络犯罪却由此也有了新的希望,功能相似的新版本POS恶意软件也会继续出现,以满足网络犯罪市场的需求。

作者:dawner

来源:51CTO

时间: 2024-10-25 15:46:26

安全专家挖掘出新型POS恶意软件NitlovePoS的相关文章

喜达屋54家酒店遭POS恶意软件植入 房客银行数据泄露

当前,关于POS恶意软件的信息时有闻之,像之前通过Word文档进行感染的新型PoS机恶意程序出现,迄今为止最为复杂的PoS系统恶意软件PoSeidon等我们可以了解到此类型恶意软件对于用户个人银行数据的威胁之大.而像之前希尔顿酒店发生的顾客数据泄露,也是因POS恶意软件而起的,这一次POS恶意软件出现在了另外一家豪华连锁酒店中-喜达屋集团. 喜达屋集团,是全球最大的饭店及娱乐休闲集团之一,旗下拥有着喜来登.威斯丁.W酒店等众多全球高档豪华酒店品牌,这些位于旅游或者度假胜地的酒店,目前被发现为信用

两款新型Linux恶意软件:一个挖加密货币,一个创建代理网络

俄罗斯反病毒开发商Dr. Web公司的恶意软件研究人员们已经发现了两款新型Linux恶意软件,分别名为Kinux.Muldrop.14和Linux.ProxyM. Kinux.Muldrop.14:主要用于挖掘加密货币 根据Dr. Web公司介绍,Kinux.Muldrop.14的能够感染树莓派(Raspberry Pi)设备以借此实现加密货币挖掘.该恶意软件于今年5月份被首次发现,研究人员们找到了一套包含压缩与加密应用程序的脚本. Kinux.MulDrop.14主要针对具备SSH外部开放端口

Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染

本文讲的是Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染, ES服务器中发现POS恶意软件 Kromtech 安全中心最近对一些可以公开访问的ElasticSearch节点进行研究后发现,在ElasticSearch文件结构中存在一些与其没有任何关系的可疑索引名称. 原来,在这些ElasticSearch服务器中有部分存放了AlinaPOS和JackPOS恶意软件的C&C基础架构文件.这两种都是使用一系列不同技术来擦拭信用卡详细信息的POS终端恶意软件.

4000余台ElasticSearch服务器遭PoS恶意软件感染

Kromtech安全中心发现ElasticSearch服务器上4000多个实例遭遇两款PoS恶意软件感染:AlinaPOS和JackPOS. 研究人员上周常规扫描时发现这些暴露的ElasticSearch服务器.初次发现后,Kromtech团队使用Shodan搜索引擎发现超过1.5万台ElasticSearch服务器暴露在网上,而未部署任何形式的安全验证. 2012年PoS恶意软件图 2014年PoS恶意软件图 Kromtech表示,其中至少4000台(约27%)服务器上有AlinaPOS和Ja

能不能只问5个问题就挖掘出客户内心的真正需求

摘要: 能不能只问5个问题就挖掘出客户内心的真正需求,并且引导他购买我们推荐给他的产品呢?答案是肯定的. 哪5个问题呢? 我会询问客户 5个问题 : 1.你为什么要买辆汽车呢? 2.你对车 能不能只问5个问题就挖掘出客户内心的真正需求,并且引导他购买我们推荐给他的产品呢?答案是肯定的. 哪5个问题呢? 我会询问客户5个问题: 1.你为什么要买辆汽车呢? 2.你对车子有哪些基本要求? 3.这些基本要求的具体含义是什么? 4.这些基本要求中哪个最重要? 5.除此之外你还有其他的要求吗? 只要客户回答

Cisco Nexus 7000和7700交换机OTV缓冲区溢出漏洞 绿盟科技专家给出变通防护方案

2016年10月5日,思科官网发布了存在于Cisco Nexus 7000系列和7700系列交换机中的OTV技术存在缓冲区溢出漏洞,此漏洞编号为CVE-2016-1453.该漏洞将导致攻击者执行任意代码,或者思科交换机的全部权限.官方已经给出升级补丁,如果您的交换机暂时无法升级,绿盟科技的专家给出了变通防护方案. 该漏洞位于Overlay Transport Virtualization(OTV)技术的GRE隧道协议实现中,由于对OTV包头部的参数没有进行完整校验,导致攻击者可以通过向受影响设备

新型Java恶意软件可攻击OS X/Windows/Linux

据国外媒体出现,本周安全公司F-Secure发现了一种 新的基于浏览器的跨平台恶意软件,它允许黑客远程访问任何一台运行OS X.Windows以及Linux的计算机.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' width="580" height="181" src="http://images.51cto.com/files/uploadimg/20120712/1

顺德3大家电制造企业或可从中挖掘出商机

家电制造企业芯片短缺有交货隐忧"日本作为全球消费电子及半导体.面板的主要输出国,一场地震对顺德家电行业所需的芯片影响较大,家电行业设备中的温度器件调控器.空调遥控器等都需要用到芯片."顺德海关相关负责人称.芯片短缺对目前顺德家电企业影响如何?格兰仕空调市场部申银凤部长表示,芯片方面格兰仕与日本东芝此前也有合作,但此前根据采购需求提前采购的量较多,目前生产较好,影响不大.格兰仕海外市场部总经理刘贵中则表示,目前格兰仕也正在评估地震对企业造成的影响,"一些需要日本芯片的产品交货期

美研发出新型电解质电容器 厚度比纸薄

[摘要]美国莱斯大学研发出了一款厚度比纸还要薄的电解质电容器.美研发出新型电解质电容器 厚度比纸薄BI中文站 5月28日报道想象一下,如果你的Fitbit或者FuelBand变得像纸片一样轻薄会是什么感觉呢?事实上,目前已经有许多电子设备制造厂商的设备变得足够迷你,但电池却往往是他们设计过程中的一大败笔,因为他们无法有效压缩电池在设备内部的所需空间.这就大大增加了设备的尺寸,并严重限制了这些设备的应用范围.美国莱斯大学(Rice University) 化学专业教授詹姆斯-托尔(James To