GlitchPOS恶意软件似乎窃取了信用卡号码

  • A+
所属分类:未分类

一个新的恶意软件定位销售系统GlitchPOS已经在犯罪软件论坛上被发现。

最近在犯罪软件论坛上发现了一种新的阴险恶意软件,它倾向于从销售点(PoS)系统中窃取信用卡号码。

思科Talos的研究人员在周三的一项分析中表示,他们发现这款被称为“GlitchPOS”的恶意软件正在暗网上以250美元的价格被贩卖。 该恶意软件于2月2日首次出现,研究人员表示,他们还不知道有多少网络犯罪分子购买或正在使用它。

“思科Talos最近发现了攻击者在犯罪软件论坛上销售的新PoS恶意软件,”研究人员称。 “我们的研究人员还发现了与恶意软件,其基础设施和控制面板相关的有效负载。”

GlitchPOS加入其他最近开发的针对零售和酒店领域的恶意软件,包括TreasureHunterPinkKite--这一趋势正在上升,因为网络犯罪分子希望从通常代表“软目标”的PoS系统中获利,研究人员表示。

思科Talos Outreach总监克雷格·威廉姆斯告诉Threatpost,GlitchPOS的部分原因在于“该软件设计合理,易于使用,允许非技术性坏人运行PoS僵尸网络。”

恶意软件通过电子邮件传播,声称是一个涉及“猫的各种图片”的游戏。

研究人员表示,用VisualBasic开发的打包器可以保护恶意软件,“打包器的目的是解码一个真正有效载荷的库,用UPX打包器编码,”研究人员说。 “一旦解码,我们就可以访问GlitchPOS,这是一个用VisualBasic开发的内存抓取器。”

glitchPOS销售点恶意软件

GlitchPOS仪表板

恶意软件的有效负载很小,连接到命令和控制服务器(C2)后功能很少,包括注册受感染的系统,从C2接收任务(通过服务器直接发送的shellcode执行)和exfiltrating信用卡来自受感染系统的数字。

GlitchPOS面板还包括卖方为恶化软件包提供的其他功能,包括仪表板,受感染系统的“客户”列表以及列出被盗信用卡号码的面板。

预构建的恶意软件售价为250美元,而建设者售价为600美元。

研究人员怀疑GlitchPOS背后的卖家 - 其名称为“Edbitss” - 之前已经开发出恶意软件。

研究人员“高度自信地”评估了Edbitss也是DiamondFox L!NK 僵尸网络的开发者 自2015/2016年以来,该模块化僵尸网络已在各种地下论坛上发售,它为网络犯罪分子提供了各种攻击的工具 - 从量身定制的间谍活动到凭证盗窃活动甚至是简单的DDoS攻击。

glitchPOS恶意软件

单击以展开

研究人员发现DiamondFox L!NK僵尸网络和GlitchPOS之间存在几个相似之处,这使他们相信同一个开发人员都支持两者。

例如,两者的恶意软件语言类似,其面板包含类似的图像,代码,术语和颜色。 “作者明确重用了GlitchPOS面板上DiamondFox面板的代码,”研究人员说。

在另一个与PoS恶意软件普及有关的有趣转折中,研究人员发现其他网络犯罪分子试图以高于原始价格的价格在其他网站上转售GlitchPOS。

研究人员说:“我们也看到坏人偷走了彼此的工作,并试图以更高的价格出售其他开发商开发的恶意软件。”

销售点恶意软件正在成为一股崛起的祸害; 特别是在酒店业。

2018年1月,时尚零售商Forever 21 透露恶意软件已在其商店中使用了近八个月的某些POS终端,允许黑客窃取该公司的消费者信用卡数据,并且在2018年3月,PoS系统上的恶意软件被发现超过160 Applebee的餐厅。

最近,North Country Business Products(NCBP)是一家为餐馆位置提供PoS系统和服务的公司,该公司表示,恶意软件能够在1月份从食客那里拿走支付卡数据大约三周。 NCBP的业务范围很长,合作伙伴餐厅的运营范围来自亚利桑那州弗拉格斯塔夫的柯林斯爱尔兰酒吧。到大福克斯的Vinyl Taco,ND

PoS恶意软件通常部署在零售商的网站或零售PoS销售机器上。

“如果他们成功获得信用卡详细信息,他们可以使用出售该信息的收益或直接使用信用卡数据获取其他恶意软件的额外漏洞和资源,”研究人员说。 “销售点终端往往在隔离方面被遗忘,可能代表攻击者的软目标。”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: