بدافزار پایانههای فروشگاهی LockPoS برای آسیب رساندن به سامانههای قربانی از روش جدیدی برای تزریق کد استفاده میکند.
به گزارش بانکینا، بدافزار LockPoS که جزئیات آن نخستین بار در جولای ۲۰۱۷ میلادی منتشر شد، دادههای کارتهای اعتباری را از حافظه رایانههایی که به پویشگرهای کارت اعتباری پایانههای فروشگاهی (PoS) متصل هستند، میرباید. این بدافزار چنان طراحی شده است که حافظه فرآیندهای در حال اجرا را بخواند و دادههای کارت اعتباری را گرد آورد و سپس این دادهها را به سرور واپایش و دستور خود بفرستد. تجزیه و تحلیلهای پیشین نشان داده است که این بدافزار از یک نصبکننده برای تزریق خود در پردازه explorer.exe استفاده میکند.
پس از اجرا، این نصبکننده یک پرونده منبع را استخراج میکند و مولفههای مختلفی را برای بارگذاری پیلودی LockPoS پایانی تزریق میکند. هم اینک، این بدافزار از روش تزریقی استفاده می کند که گوییا روشی تازه است که پیشتر توسط بدافزار پایانههای فروشگاهی به نام Flokibot به کار می رفت. بدافزار LockPoS توسط باتنت Flokibot توزیع شده، گویا عوامل هر دوی آنها یکی است.
شرکت Cyberbit می گوید که یکی از روشهای تزریق که توسط بدافزار LockPoS استفاده میشود، شامل ایجاد یک بخش در هسته، فراخوانی یک تابع برای نگاشت نمایشی از این بخش به فرآیند دیگر و سپس کپی کردن کد در این بخش و ایجاد یک تهدید برای اجرای کد نگاشتشده است. دیده شده است که بدافزار LockPoS از سه روال اصلی به نامهای NtCreateSection، NtMapViewOfSection و NtCreateThreadEx برای تزریق کد به فرآیند از راه دور استفاده میکند؛ هر سه این روالها از سوی ntdll.dll که یک کتابخانه پیوند پویا در سیستم عامل ویندوز است، صادر میشوند.
این بدافزار به جای فراخوانی روالهای گفتهشده، ntdll.dll را از دیسک به فضای آدرس مجازی خود نگاشت میکند که به آن اجازه میدهد که رونوشت درستی از پرونده کتابخانۀ پیوند پویا (DLL) برای خود نگاه دارد. بدافزار LockPoS همچنین یک بافر را برای ذخیرهسازی تعداد فراخوانیهای سامانه تخصیص میدهد، کد ویرانگر را در بخش نگاشتشدۀ مشترک کپی میکند، سپس یک تهدید راه دور را در explorer.exe ایجاد میکند تا کد ویرانگرش را اجرا کند. با استفاده از این روش تزریق بدافزار، این بدافزار میتواند راهکارهای حفاظتی که توسط ضدبدافزارها در ntdll.dll اعمال میشود را دور بزند و بخت خود را برای انجام حمله ای پیروزمندانه افزایش دهد.
منبع: کاشف
