News

Floki, il malware PoS con funzionalità di worm

I ricercatori di Trend Micro hanno individuato due nuove varianti di FighterPOS, malware destinato ai terminali PoS (Point of Sale), da essi rilevato, per la prima volta, quasi un anno fa. Il primo dei nuovi arrivati è, in pratica, una versione “alleggerita” di FighterPOS, la quale è esclusivamente in grado di inviare al server di comando C&C i dati di pagamento, raccolti senza il suo diretto intervento. La seconda variante, battezzata con il nome in codice di Floki Intruder, è decisamente più complessa e pericolosa: essa è in effetti provvista di apposita funzione per autodiffondersi nell’ambito della rete alla quale risulta collegato il dispositivo infetto.

Secondo Trend Micro, il malware Floki provvede a ricercare i drive logici, per poi caricare una copia di se stesso assieme al file autorun.inf, utilizzando il sistema di gestione nativo WMI (Windows Management Instrumentation). “L’aggiunta di tale sottoprogramma trova una logica spiegazione nel fatto che i terminali PoS, di solito, sono riuniti in un network; la funzionalità di auto-propagazione, quindi, non solo consente agli attacker di infettare agevolmente il maggior numero possibile di terminali, ma complica in maniera considerevole l’operazione di “pulizia” degli stessi, – scrivono i ricercatori sul loro blog. – Finché risulta presente, all’interno della rete, anche un solo terminale compromesso, è in pratica inevitabile un nuovo processo di infezione”.

La prima pubblicazione dedicata a FighterPOS è comparsa sul sito web di Trend Micro nel mese di aprile 2015. Allora, tale malware aveva infettato oltre 100 organizzazioni brasiliane, ed era riuscito a carpire ben 22.000 numeri di carta di credito.

Come hanno dimostrato le analisi condotte, la variante “autonoma” Floki, al pari di FighterPOS, è stata creata sulla base del bot client vnLoader, pur essendo stata compilata, con ogni probabilità, su un’altra macchina. Proprio come il predecessore, anche il nuovo arrivato è in grado di monitorare l’attività delle soluzioni di sicurezza, utilizzando WMI, e di disattivare UAC (controllo account utente), il firewall di Windows ed altri strumenti di protezione standard. Anche Floki si diffonde attraverso i siti compromessi, ed è ugualmente in grado di ricevere gli aggiornamenti dal proprio C&C.

Gli esperti suppongono, tuttavia, che l’autore di Floki sia un altro virus writer. Tale ipotesi è avvalorata dall’analisi di alcune stringhe presenti nel codice sorgente, così come dai commenti, scritti in lingua inglese e non in portoghese, come invece nel caso di FighterPOS.

L’altro successore di FighterPOS non ha ereditato vnLoader; questo spiega le differenze che si riscontrano a livello di sistema di comunicazione con il centro di comando e controllo. Esso presenta dimensioni decisamente ridotte, ed un set di funzioni alquanto limitato; in effetti, non è in grado né di ricevere comandi tramite backdoor, né di raccogliere informazioni sul sistema infetto. Tale malware, in pratica, è esclusivamente in grado di stabilire una connessione con il proprio C&C, per poi trasmettere a quest’ultimo i dati di pagamento raccolti dai suoi “confratelli”, i quali riescono a ricavare le informazioni sensibili dalla memoria operativa del dispositivo. Gli esperti hanno analizzato diverse varianti del malware FighterPOS in versione “alleggerita”; essi ritengono che, per il momento, si tratti soltanto di una sorta di “concetto”, il quale, con il tempo, potrebbe tuttavia arricchirsi di funzionalità aggiuntive.

Secondo i dati statistici elaborati da Trend Micro, nel periodo intercorrente tra il 23 gennaio e il 16 febbraio, il 93,77% del volume complessivo delle infezioni generate da FighterPOS ha riguardato il Brasile. L’indice relativo agli Stati Uniti ha fatto registrare un sensibile incremento a partire dal mese di aprile 2015, passando, di fatto, dall’1% di quasi un anno fa all’attuale 6%; il responsabile di tutto ciò, probabilmente, è proprio Floki.

Fonte: Securityweek

Floki, il malware PoS con funzionalità di worm

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox