快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

TreasureHunter PoS恶意软件的源代码被泄露到网上

pos-malware-poseidon.jpeg

Flashpoint的安全专家确认,TreasureHunter PoS恶意软件源代码的确从三月份最先就被泄露在网上。

研究人员发现这个病毒最少在2014年年底就已经出现。TreasureHunt起首被SANS研究所的研究人员发现,他们注意到恶意软件会生成互斥体名称以逃避检测。

TreasureHunt列举在受感染体系上运行的进程并实施内存抓取功能来提守信用卡以及借记卡信息。被盗的支付卡数据通过HTTP POST要求发送给C&C服务器。

FireEye的专家阐发了这些恶意软件后发现,黑客会行使弱口令入侵PoS体系。一旦TreasureHunt恶意软件感染体系,它会将自身装置到“%APPDATA%”目录中并通过创建注册表项来保障驻留体系:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheck

Flashpoint研究人员在俄语论坛上发现了TreasureHunter的源代码,发布代码的人还泄露了用户界面以及治理员面板的源代码。

PoS恶意软件的开发者似乎是一位精通英语的俄国人。

可骇的是黑客可以通过源代码构建本人的病毒,从而导致攻击的种类以及多样性大大增添。

发布TreasureHunter的黑客也说,其他黑客可以根据本人的需求修改源码。

病毒运作过程

无非另一方面,源码会让安全公司更方便地了解病毒运作过程,从而采取相应答策。

Flashpoint踊跃与思科Talos的研究人员合作,防止恶意程序传播。

“最初,黑客漏洞,这类恶意软件似乎是为名誉扫地的公开市肆转储卖家”BearsInc“开发的,存在于种种中低端黑客社区中。目前还不清楚为什么源代码被泄露。“

恶意代码是用纯C编写的,它不包含C++特性,最初是在Windows XP上的Visual Studio 2013中编译的。

该代码项目似乎被称为内部trhutt34C,研究人员说,病毒作者重新设计了几个功能,包括加入反调试,代码结构以及门通讯逻辑来改进它。

“源代码与过去几年真实看到的种种样本一致。 TreasureHunter\config.h在恶意软件的发铺过程中有显然的修改迹象。“总结阐发。

“早期的样本用FIELDNAME_PLACEHOLDER加添了所有可设置字段,以便被构建者笼盖。更新的示例以及源代码将相应的设置值直接写入字段中。这使得示例略微小一点,创建重新设置的文件。“

* 参考来源:SecurityAffairs,Sphinx,转载注明来自FreeBuf

您可能还会对下面的文章感兴趣: