Ботнеты, распространявшие PoS-зловред FlokiBot очнулись после месяцев спячки: теперь через них рассылается новая зараза для кассовых терминалов, получившая название LockPoS. Исследователи говорят, что LockPoS пока не ловят многие антивирусы и системы обнаружения вторжений по причине его новизны.

Как сообщает Arbor Networks (подразделение NetScout), на данный момент LockPoS нацелен на компании, базирующиеся в Бразилии. Исследователи говорят, что они обнаружили «новинку» после того, как заметили, что C&C серверы, использовавшиеся FlokiBot, снова заработали.

«Один из командных серверов, бездействовавший в течение некоторого времени, внезапно проснулся и начал распространять нечто, при ближайшем рассмотрении оказавшееся новым семейством PoS-зловредов — которое мы и назвали LockPoS», — написал в среду в своем блог-посте Деннис Шварц, исследователь из Arbor Networks.

Пока это единственная связь между LockPoS и FlokiBot, которую успели обнаружить. Единственная общая черта этих двух семейств — это то, что оба зловреда специализируются на заражении кассовых терминалов и используют один и тот же механизм распространения. Кстати, и зловред, и ботнет, его рассылавший, в свое время назвали одним и тем же именем — FlokiBot.

Последний раз FlokiBot упоминался в новостях в декабре 2016 года, когда исследователи из Cisco Talos и Flashpoint сообщили об увеличивающемся доминировании зловреда на форумах в Даркнете и о его растущей популярности для атак на банки и страховые компании в США, Канаде и Бразилии.

В Arbor Networks говорят, что пока не могут оценить, насколько масштабными были кампании, в которых использован LockPoS, и какое количество PoS-систем было заражено новым зловредом. Файлы, которые изучали исследователи, были скомпилированы создателями LockPoS совсем недавно — 24 июня 2017 года.

Как и другие PoS-зловреды, «новинка» использует схему с двойной загрузкой: оригинальный exe-файл скачивает загрузчик, который, в свою очередь, скачивает «боевую нагрузку» LockPoS и устанавливает ее в системе.

Исследователи говорят, что не знают, кто стоит за LockPoS. «Пока непонятно, будет ли LockPoS использоваться единолично какой-то криминальной группой — или будет продаваться на черном рынке любому желающему, как это было с FlokiBot», — написал Шварц.

Еще одна любопытная деталь: LockPoS использует тот же командный сервер (treasurehunter[.]at), что и другой PoS-зловред, в свое время получивший название Treasurehunt. «Стоит отметить, что проанализированный C&C сервер (treasurehunter[.]at) примечателен тем, что в 2016 году он уже упоминался в исследовании FireEye, описывавшем PoS-зловред Treasurehunt. Судя по приводимым ими индикаторам компрометации (IoC), LockPoS и Treasurehunt — это разные семейства, разработанные независимо друг от друга», — пишет Шварц.

Также Шварц говорит, что с технической точки зрения в LockPoS нет чего бы то ни было экстраординарного. Что, впрочем, еще ни разу не остановило предыдущие, схожие по уровню сложности PoS-зловреды, от разорительных набегов на гостиницы, рестораны и розничные магазины.

Категории: Вредоносные программы, Главное, Кибероборона, Уязвимости, Хакеры