Nova Zeus varijanta cilja POS terminale

NeutrinoPos specijalno napravljen za prikupljanje informacija sa kreditnih kartica.

Nova Zeus varijanta cilja POS terminale

Pojavila se nova varijanta Zeus bankarskog trojanca pod nazivom Neutrino (neki ga zovu Neutrino POS). Neutrino je specijalno napravljen za prikupljanje informacija sa kreditnih kartica na (kompromitovanim) POS terminalima.

S vremena na vreme, autori zloglasnih i dugovečnih virusa i trojanaca, poput bilo kojih autora softvera, prave određene modifikacije. Jedan od najboljih primera je trojanac Zeus čije se modifikacije pojavljuju svake godine.

Neutrino se najpre nalazi u stanju dugačkog „sna“ (ima funkciju odloženog početka delovanja) pre nego što postane aktivan i poveže se sa C&C serverom. To radi kako bi izbegao AV sandbox detekciju. Neutrino obavlja sledeće:

  1. Downloaduje i pokreće fajlove.
  2. Pravi skrinšotove.
  3. Pretražuje procese po imenu.
  4. Menja register branches.
  5. Pretražuje fajlove po imenu na zaraženom računaru i šalje ih ka C&C serveru.
  6. Pokreće proxy komande.

Kako bi ukrao informacije sa kreditne kartice, Neutrino pretražuje stranice sa memorijom u procesu i skuplja informacije za nizove “Track1” i “Track2”, koji označavaju polja koja su sadržana u evidenciji kartice. Najviše su pogođeni POS terminali u Rusiji i Kazahstanu, a nešto manje uređaji u Ukrajini i Meksiku. Zatim slede SAD, Kina, Iran, Turkmenistan, Uzbekistan, Francuska, Nemačka i Poljska.

Neutrino mapa

Rasprostranjenost Neutrino.POS trojanca. Izvor slike securelist.com

Iako Zeus pripada dobro poznatoj, staroj familiji malvera koju su stručnjaci detaljno upoznali, i dalje ume da iznenadi istraživače i malver analitičare pre svega u pogledu atipične funkcionalnosti i primene. Uopšteno govoreći, svaki malver sa dobrom arhitekturom i multifunkcionalnom primenom (čiji se izvorni kod obelodani) izaziva pažnju hakera koji će ga gotovo sigurno upotrebiti na svaki mogući način koji donosi ilegalnu novčanu korist. Možemo s pravom pretpostaviti da upravo sada neko pravi nove modifikacije Neutrina.

Izvor: infosecurity-magazine