Floki – PoS-Schädling mit Wurm-Funktionalität

Die Forscher von Trend Micro haben zwei neue Varianten von FighterPOS entdeckt, ein auf PoS-Terminals spezialisierter Schädling, den sie schon seit etwa einem Jahr detektieren. Einer der Neulinge ist eine abgespeckte Version von FighterPOS, die nur Bezahldaten an den C&C-Server schicken kann, die ohne ihr Zutun zusammengetragen wurden. Die zweite Spielart, die den Codenamen Floki Intruder erhielt, ist komplexer und gefährlicher: Sie verfügt über die Funktion, sich selbst in dem Netz zu verbreiten, mit dem das infizierte Gerät verbunden ist.

Laut Aussage von Trend Micro spürt der neu erschienene Floki logische Festplatten auf und lädt eine Kopie seiner selbst zusammen mit der Datei autorun.inf, indem er die Windows-Verwaltungstechnologie WMI (Windows Management Instrumentation) benutzt. „Das Hinzufügen dieses Subprogramms ist in diesem Fall völlig gerechtfertigt: Da PoS-Terminals normalerweise in einem Netz zusammengefasst werden, ermöglicht die Verbreitungsfunktion einem Angreifer nicht nur, mühelos eine größtmögliche Anzahl von Terminals zu infizieren, sondern sie erschwert auch die Desinfektion“, schreiben die Forscher in ihrem Blog. „Solange es auch nur einen befallenen Terminal im Netz gibt, ist eine erneute Infektion unausweichlich.“

Die erste Veröffentlichung zum Thema FighterPOS erschien im April 2015 auf der Website von Trend Micro. Zu dem Zeitpunkt infizierte dieser Schädling über 100 brasilianische Organisationen und stahl erfolgreich mehr als 22.000 Kreditkartennummern.

Wie eine Analyse zeigte, wurde der „Selbstgänger“ Floki, wie auch FighterPOS, auf der Grundlage des Bot-Clients vnLoader entwickelt, allerdings höchstwahrscheinlich auf einer anderen Maschine kompiliert. Mit seinem Vorgänger verbindet ihn außerdem die Fähigkeit, mit Hilfe von WMI die Aktivität von Schutzlösungen zu verfolgen, die Benutzerkontensteuerung von Windows (UAC), die Firewall von Windows und andere Standard-Schutzlösungen zu deaktivieren. Floki wird auch über gehackte Websites verbreitet und kann außerdem Updates vom C&C-Server empfangen.

Тrotzdem sind die Experten der Meinung, dass Floki von einem anderen Virenautor geschrieben wurde. Für diese Annahme sprechen einige Zeilen des Quellcodes sowie Kommentare, die in englischer Sprache verfasst sind und nicht auf Portugiesisch, wie im Fall von FighterPOS.

Der zweite Nachfolger von FighterPOS stammt nicht von vnLoader ab, da sein Kommunikationssystem mit dem C&C-Server anders ist. Er ist von geringer Größe und verfügt über eine äußerst beschränkte Auswahl an Funktionen; er ist nicht in der Lage, Befehle über eine Backdoor entgegenzunehmen oder Informationen über ein infiziertes System zu sammeln. Dieser Schädling baut lediglich eine Verbindung mit dem C&C-Server auf und gibt an ihn die Bezahldaten weiter, die von seinem Kollegen zusammengetragen wurden, der fähig ist, solche Informationen aus dem Arbeitsspeicher herauszulesen. Die Experten haben mehrere Modifikationen des abgespeckten FighterPOS analysiert und vermuten, dass es sich hierbei erst um ein Konzept handelt, das mit der Zeit noch mit weiteren Funktionen ausgestattet werden könnte.

Laut Statistik von Trend Micro entfielen in der Zeit vom 23. Januar bis zum 16. Februar 93,77% aller FighterPOS-Infektionen auf Brasilien. Der Wert der USA ist seit April deutlich gestiegen, und zwar von 1% auf 6%, und daran ist offensichtlich Floki Schuld.

Quelle: Security Week

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.