سوءاستفاده‌ی بدافزار FastPOS از Mailslots ویندوز برای سرقت داده‌ها

۸عاملان بدافزار FastPOS تروجان خود را با یک سازوکار جدیدِ خروج داده۱ به‌روزرسانی کرده‌اند که از سازوکار Mailslots ویندوز استفاده می‌کند تا داده‌ها را قبل از خروج از سامانه‌ی قربانی، ذخیره ‌کند.
این نسخه‌ی جدید از بدافزار POS در ماه ژوئن مشاهده شد که محققان ترندمیکرو تبلیغات آن را در انجمن‌های زیرزمینی فروش کارت‌های به سرقت‌رفته کشف کردند.

FastPOS به‌روزرسانی خود را سالانه دریافت می‌کند!
تحلیل‌های انجام شده بر روی نسخه‌ی جدید خانواده بدافزارهای POS نشان می‌دهد که تمرکز این دسته بر روی سرعت و مخفیانه قربانی کردن است، برخلاف بدافزارهای POSی که تاکنون مشاهده شده است.
محققان ترندمیکرو پس از کشف اولیه این بدافزار و ردیابی ظهور این بدافزار به ماه مارس سال ۲۰۱۵، تحلیل‌های خود را ادامه دادند.
همچنین این محققان دریافتند که عاملان بدافزار FastPOS به‌روزرسانی این بدافزار را هر سپتامبر در فصل تعطیلات انجام می‌دهند. پس از گذشت ماه سپتامبر، اکنون ترندمیکرو جزئیات آخرین نسخه‌ی این بدافزار را منتشر کرده است.

FastPOS هم‌اکنون از نسخه‌ی ۳۲ بیتی و ۶۴ بیتی پشتیبانی می‌کند!
این شرکت امنیتی اعلام کرده که این بدافزار قابلیت آلوده کردن سامانه‌های ۳۲ بیتی و ۶۴ بیتی را دارد.
FastPOS که از دو ماژول اصلی (کی‌لاگر و اسکریپر حافظه) استفاده می‌کند، همچنین کارکرد خود در سطح فرآیندهای سامانه عامل را تغییر داده است. نسخه‌ی قبلی FastPOS در قالب یک فرآیند تودار۲ کار می‌کرد در حالی‌که نشخه‌ی جدید ماژول اصلی و ثانویه آن هر یک در قالب یک فرآیند متفاوت سامانه عامل کار می‌کنند که حذف آن‌ها را سخت‌تر می‌کند.
در حقیقت ترندمیکرو می‌گوید تشخیص جریان‌های HTTP که از طریق آن بدافزار داده‌های کارت‌های اعتباری را از POS به سرقت برده است بسیار آسان است چرا که این اطلاعات رمزنگاری نشده است.

FastPOS اکنون از Mailslots ویندوز سوءاستفاده می‌کند!
اما تغییر اساسی که در این بدافزار در نسخه‌ی جدید ایجاد شده مربوط به نحوه‌ی ذخیره‌سازی داده‌های به سرقت‌رفته پیش از ارسال به کارگزار دستور و کنترل است. درست مثل گذشته، این بدافزار تمام داده‌ها را در حافظه‌ی کامپیوتر (RAM) برای جلوگیری از ایجاد پرونده‌های محلی ذخیره می‌کرد.
این موضوع وجود داشت و دارد و یک ویژگی برنامه‌ریزی شده بود بخاطر اینکه بدافزار در نظر نداشت تا داده‌های سرقت‌شده را برای مدت طولانی در کامپیوتر قربانی نگهداری کند و از این رو نام این بدافزار Fast POS است.
نسخه‌ی جدید بدافزار از یک سازوکار در ویندوز با نام Mailslots سوءاستفاده می‌کند. Mailslots شبه پرونده‌هایی (پرونده‌های موقتی) هستند که تنها در داخل حافظه‌ی RAM قرار داشته و برای ذخیره‌ی ارتباطات بین فرآیندها ۳ استفاده می‌شوند.
بخاطر اینکه FastPOS ماژول‌های خود را بین فرآیندهایی همچون explorer.exe و services.exe تزریق می‌کند، این دسترسی را دارد تا Mailslots را ایجاد کرده و داده‌های سرقت‌شده را در آن ذخیره کند.

۲_۶۸

FastPOS کسب‌وکارهای کوچک را هدف قرار داده است!
بدافزار POS دیگری با نام LogPOS نیز از Mailslots برای ذخیره‌ی داده‌هایی به سرقت‌رفته از POS استفاده می‌کند.
Mailslots ویندوز دقیقا با عملکرد حالت پیش‌فرض بدافزار FastPOS متناسب و مطابق است که داده‌ها را به محض اینکه کاربر روی کیبورد اینتر را فشار می‌دهد و یا از پایانه‌ی POS کارتی را می‌کشد، خارج می‌کند.
گروه ترندمیکرو توضیح می‌دهد: «این بدافزار FastPOS بر روی سرعت تاکید می‌کند و عمدتاً برای هدف قرار دادن کسب‌وکارهایی که دروازه‌های شبکه‌های آن‌ها باند کمتری دارد، طراحی شده است. بدیهی است که بدافزار FastPOS تمایل شدیدی به هدف قرار دادن کسب‌وکارهای کوچک تا متوسط دارد.»

۱. data exfiltration
۲. self-contained
۳. inter-process communications (IPC)

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap