NeutrinoPoS – Old Trojan se déplace vers de nouveaux objectifs

Les chercheurs de sécurité de Kaspersky Lab ont observé une nouvelle étape dans l'évolution du logiciel malveillant de Neutrino, avec une variante récemment observée ciblant les terminaux de point de vente (PoS).

La première chose qui a attiré l'attention des chercheurs, c'est que le malware prend beaucoup de sommeil avant de commencer sa routine malveillante, dans le but d'éviter les bacs à sable anti-virus. Le logiciel malveillant utilise un générateur de nombres pseudo-aléatoires pour déterminer la période de retard, explique Sergey Yunakovsky de Kaspersky.

Ensuite, le malware extrait une liste d'adresses de commande et de contrôle (C & C) de son corps et le décode (la liste est codée en Base64). Ensuite, le Trojan tente de se connecter à un C & C fonctionnant à l'aide d'un algorithme spécifique: il "envoie une demande POST au serveur, en passant par son encodage corporel dans base64 string" enter "(ZW50ZXI =)." Toutes les chaînes codées comportent le préfixe "_wv = ", A observé le chercheur.

Un serveur fonctionnel répondrait avec une page 404, mais inclurait également la chaîne codée c3VjY2Vzcw == (succès) à la fin, ce qui indique au Tojan de marquer l'adresse du serveur utilisé comme fonction .

L'en-tête de chaque demande POST comprend également un champ "auth", qui est le même pour chaque échantillon de la famille NeutrinoPOS, disent les chercheurs.

Le logiciel malveillant contient un support pour une variété de commandes, y compris l'option de télécharger et de démarrer un fichier; Prendre des captures d'écran; Rechercher par nom; Modifier les branches d'enregistrement; Et recherchez des fichiers par nom sur un hôte infecté et envoyez le fichier au serveur C & C. Il supporte également …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils