News

Floki – PoS-Schädling mit Wurm-Funktionalität

Die Forscher von Trend Micro haben zwei neue Varianten von FighterPOS entdeckt, ein auf PoS-Terminals spezialisierter Schädling, den sie schon seit etwa einem Jahr detektieren. Einer der Neulinge ist eine abgespeckte Version von FighterPOS, die nur Bezahldaten an den C&C-Server schicken kann, die ohne ihr Zutun zusammengetragen wurden. Die zweite Spielart, die den Codenamen Floki Intruder erhielt, ist komplexer und gefährlicher: Sie verfügt über die Funktion, sich selbst in dem Netz zu verbreiten, mit dem das infizierte Gerät verbunden ist.

Laut Aussage von Trend Micro spürt der neu erschienene Floki logische Festplatten auf und lädt eine Kopie seiner selbst zusammen mit der Datei autorun.inf, indem er die Windows-Verwaltungstechnologie WMI (Windows Management Instrumentation) benutzt. „Das Hinzufügen dieses Subprogramms ist in diesem Fall völlig gerechtfertigt: Da PoS-Terminals normalerweise in einem Netz zusammengefasst werden, ermöglicht die Verbreitungsfunktion einem Angreifer nicht nur, mühelos eine größtmögliche Anzahl von Terminals zu infizieren, sondern sie erschwert auch die Desinfektion“, schreiben die Forscher in ihrem Blog. „Solange es auch nur einen befallenen Terminal im Netz gibt, ist eine erneute Infektion unausweichlich.“

Die erste Veröffentlichung zum Thema FighterPOS erschien im April 2015 auf der Website von Trend Micro. Zu dem Zeitpunkt infizierte dieser Schädling über 100 brasilianische Organisationen und stahl erfolgreich mehr als 22.000 Kreditkartennummern.

Wie eine Analyse zeigte, wurde der „Selbstgänger“ Floki, wie auch FighterPOS, auf der Grundlage des Bot-Clients vnLoader entwickelt, allerdings höchstwahrscheinlich auf einer anderen Maschine kompiliert. Mit seinem Vorgänger verbindet ihn außerdem die Fähigkeit, mit Hilfe von WMI die Aktivität von Schutzlösungen zu verfolgen, die Benutzerkontensteuerung von Windows (UAC), die Firewall von Windows und andere Standard-Schutzlösungen zu deaktivieren. Floki wird auch über gehackte Websites verbreitet und kann außerdem Updates vom C&C-Server empfangen.

Тrotzdem sind die Experten der Meinung, dass Floki von einem anderen Virenautor geschrieben wurde. Für diese Annahme sprechen einige Zeilen des Quellcodes sowie Kommentare, die in englischer Sprache verfasst sind und nicht auf Portugiesisch, wie im Fall von FighterPOS.

Der zweite Nachfolger von FighterPOS stammt nicht von vnLoader ab, da sein Kommunikationssystem mit dem C&C-Server anders ist. Er ist von geringer Größe und verfügt über eine äußerst beschränkte Auswahl an Funktionen; er ist nicht in der Lage, Befehle über eine Backdoor entgegenzunehmen oder Informationen über ein infiziertes System zu sammeln. Dieser Schädling baut lediglich eine Verbindung mit dem C&C-Server auf und gibt an ihn die Bezahldaten weiter, die von seinem Kollegen zusammengetragen wurden, der fähig ist, solche Informationen aus dem Arbeitsspeicher herauszulesen. Die Experten haben mehrere Modifikationen des abgespeckten FighterPOS analysiert und vermuten, dass es sich hierbei erst um ein Konzept handelt, das mit der Zeit noch mit weiteren Funktionen ausgestattet werden könnte.

Laut Statistik von Trend Micro entfielen in der Zeit vom 23. Januar bis zum 16. Februar 93,77% aller FighterPOS-Infektionen auf Brasilien. Der Wert der USA ist seit April deutlich gestiegen, und zwar von 1% auf 6%, und daran ist offensichtlich Floki Schuld.

Quelle: Security Week

Floki – PoS-Schädling mit Wurm-Funktionalität

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach