در روزهای اخیر بدافزار جدیدی با نام LockPoS پایانههای فروش برزیل را هدف قرار داده است.
به گزارش بانکینا، اخیراً بدافزاری بر روی پایانههای فروش کشف شده که توسط یک بارگیریکننده بر روی سامانه هدف بارگیری و نصب میشود. این تهدید جدید با کارگزارهای دستور و کنترل متعلق به باتنت Flokibot ارتباط داشته و در پویشهایی کشور برزیل را هدف قرار داده است. این بدافزار LockPoS نام داشته و آخرینبار در ماه ژوئن کامپایل شده و از یک بارگیریکننده برای تزریق خود در پردازه explorer.exe استفادهمیکند.
پس از اینکه بدافزار بهطور دستی بارگذاری و نصب شد، بارگیریکننده با بازیابی یک پرونده منبع به کار خود ادامه میدهد. این منبع دارای چندین مؤلفه است که به پردازهexplorer.exe تزریق میشوند که قادر خواهدبود بهعنوان بارگیریکننده مرحله دوم مورد استفاده قرار بگیرد. در ادامه نیز رمزگشایی، خارج کردن از حالت فشرده و بارگذاری بار داده نهایی LockPoS را انجام میدهد.
محققان با تجزیهوتحلیل بر روی این بدافزار متوجه شدند که برای مبهمسازی برخی از رشتههای مهم از XOR و کلید A استفاده میکند. بدافزار همچنین یک پیکربندی اولیه را بهطور رمزنگارینشده و با ساختار باینری ذخیره میکند. بدافزار با کارگزار دستور و کنترل از طریق پروتکل HTTP ارتباط برقرار میکند. اطلاعاتی که برای کارگزار ارسال میشود حاوی نام کاربری، نام رایانه و شناسه بات، نسخه بات، پردازنده، حافظه فیزیکی، دستگاههای نمایش، نسخه ویندوز و معماری آن است.
محققان امنیتی توضیح دادند: «قابلیت سرقت اطلاعات کارتهای اعتباری از پایانههای فروش در این بدافزار بسیار مشابه سایر بدافزارهای این حوزه است. این بدافزار حافظه مربوط به سایر برنامههای در حال اجرا را پویش میکند تا مطابقتها و دادههایی مشابه شماره کارتهای اعتباری را به سرقت ببرد.»
تاکنون این بدافزار توسط باتنت Flokibot توزیع شد و به نظر میرسد عوامل هر دوی آنها یکی است. به دلیل اینکه باتنت Flokibot با این کارگزار دستور و کنترل، کاربران برزیلی را هدف قرار داده، محققان معتقدند که بدافزار LockPoS نیز دستگاههای موجود در برزیل را آلوده کردهاست.
