Floki, il malware PoS con funzionalità di worm

I ricercatori di Trend Micro hanno individuato due nuove varianti di FighterPOS, malware destinato ai terminali PoS (Point of Sale), da essi rilevato, per la prima volta, quasi un anno fa. Il primo dei nuovi arrivati è, in pratica, una versione “alleggerita” di FighterPOS, la quale è esclusivamente in grado di inviare al server di comando C&C i dati di pagamento, raccolti senza il suo diretto intervento. La seconda variante, battezzata con il nome in codice di Floki Intruder, è decisamente più complessa e pericolosa: essa è in effetti provvista di apposita funzione per autodiffondersi nell’ambito della rete alla quale risulta collegato il dispositivo infetto.

Secondo Trend Micro, il malware Floki provvede a ricercare i drive logici, per poi caricare una copia di se stesso assieme al file autorun.inf, utilizzando il sistema di gestione nativo WMI (Windows Management Instrumentation). “L’aggiunta di tale sottoprogramma trova una logica spiegazione nel fatto che i terminali PoS, di solito, sono riuniti in un network; la funzionalità di auto-propagazione, quindi, non solo consente agli attacker di infettare agevolmente il maggior numero possibile di terminali, ma complica in maniera considerevole l’operazione di “pulizia” degli stessi, – scrivono i ricercatori sul loro blog. – Finché risulta presente, all’interno della rete, anche un solo terminale compromesso, è in pratica inevitabile un nuovo processo di infezione”.

La prima pubblicazione dedicata a FighterPOS è comparsa sul sito web di Trend Micro nel mese di aprile 2015. Allora, tale malware aveva infettato oltre 100 organizzazioni brasiliane, ed era riuscito a carpire ben 22.000 numeri di carta di credito.

Come hanno dimostrato le analisi condotte, la variante “autonoma” Floki, al pari di FighterPOS, è stata creata sulla base del bot client vnLoader, pur essendo stata compilata, con ogni probabilità, su un’altra macchina. Proprio come il predecessore, anche il nuovo arrivato è in grado di monitorare l’attività delle soluzioni di sicurezza, utilizzando WMI, e di disattivare UAC (controllo account utente), il firewall di Windows ed altri strumenti di protezione standard. Anche Floki si diffonde attraverso i siti compromessi, ed è ugualmente in grado di ricevere gli aggiornamenti dal proprio C&C.

Gli esperti suppongono, tuttavia, che l’autore di Floki sia un altro virus writer. Tale ipotesi è avvalorata dall’analisi di alcune stringhe presenti nel codice sorgente, così come dai commenti, scritti in lingua inglese e non in portoghese, come invece nel caso di FighterPOS.

L’altro successore di FighterPOS non ha ereditato vnLoader; questo spiega le differenze che si riscontrano a livello di sistema di comunicazione con il centro di comando e controllo. Esso presenta dimensioni decisamente ridotte, ed un set di funzioni alquanto limitato; in effetti, non è in grado né di ricevere comandi tramite backdoor, né di raccogliere informazioni sul sistema infetto. Tale malware, in pratica, è esclusivamente in grado di stabilire una connessione con il proprio C&C, per poi trasmettere a quest’ultimo i dati di pagamento raccolti dai suoi “confratelli”, i quali riescono a ricavare le informazioni sensibili dalla memoria operativa del dispositivo. Gli esperti hanno analizzato diverse varianti del malware FighterPOS in versione “alleggerita”; essi ritengono che, per il momento, si tratti soltanto di una sorta di “concetto”, il quale, con il tempo, potrebbe tuttavia arricchirsi di funzionalità aggiuntive.

Secondo i dati statistici elaborati da Trend Micro, nel periodo intercorrente tra il 23 gennaio e il 16 febbraio, il 93,77% del volume complessivo delle infezioni generate da FighterPOS ha riguardato il Brasile. L’indice relativo agli Stati Uniti ha fatto registrare un sensibile incremento a partire dal mese di aprile 2015, passando, di fatto, dall’1% di quasi un anno fa all’attuale 6%; il responsabile di tutto ciò, probabilmente, è proprio Floki.

Fonte: Securityweek

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *