NeutrinoPoS РOld Trojan se d̩place vers de nouveaux objectifs

Les chercheurs de sécurité de Kaspersky Lab ont observé une nouvelle étape dans l'évolution du logiciel malveillant de Neutrino, avec une variante récemment observée ciblant les terminaux de point de vente (PoS).

La première chose qui a attiré l'attention des chercheurs, c'est que le malware prend beaucoup de sommeil avant de commencer sa routine malveillante, dans le but d'éviter les bacs à sable anti-virus. Le logiciel malveillant utilise un générateur de nombres pseudo-aléatoires pour déterminer la période de retard, explique Sergey Yunakovsky de Kaspersky.

Ensuite, le malware extrait une liste d'adresses de commande et de contrôle (C & C) de son corps et le décode (la liste est codée en Base64). Ensuite, le Trojan tente de se connecter à un C & C fonctionnant à l'aide d'un algorithme spécifique: il "envoie une demande POST au serveur, en passant par son encodage corporel dans base64 string" enter "(ZW50ZXI =)." Toutes les chaînes codées comportent le préfixe "_wv = ", A observé le chercheur.

Un serveur fonctionnel répondrait avec une page 404, mais inclurait également la chaîne codée c3VjY2Vzcw == (succès) à la fin, ce qui indique au Tojan de marquer l'adresse du serveur utilisé comme fonction .

L'en-tête de chaque demande POST comprend également un champ "auth", qui est le même pour chaque échantillon de la famille NeutrinoPOS, disent les chercheurs.

Le logiciel malveillant contient un support pour une variété de commandes, y compris l'option de télécharger et de démarrer un fichier; Prendre des captures d'écran; Rechercher par nom; Modifier les branches d'enregistrement; Et recherchez des fichiers par nom sur un hôte infecté et envoyez le fichier au serveur C & C. Il supporte également …