Word dokumentumok veszélyeztetik a bankkártyákat

Sokat tanult a régimódi makróvírusoktól az a kártékony program, amely bank- és hitelkártya információkat igyekszik megkaparintani.
 

Mivel manapság viszonylag keveset lehet hallani a Word dokumentumokban, illetve egyéb állományokban terjesztett makróvírusokról, ezért azt gondolhatnánk, hogy teljesen kihaltak. Azonban ez koránt sincs így, hiszen közbe-közbe felbukkan egy-egy példányuk, amikkel igencsak óvatosan kell bánni. Ezt kiválóan szemlélteti a FireEye legutóbbi felfedezése is, miszerint egy olyan kártékony program indult hódító útjára, amely bankkártyák elfogadására alkalmas POS-terminálokat veszélyeztet, és azokról próbál minél több bizalmas adatot kiszivárogtatni.

Vírusterjesztés Word dokumentummal

Az új, NitlovePoS névre keresztelt kártékony program elsősorban a terjedési mechanizmusában tér el az eddig leleplezett, POS-kompatibilis kártevőktől. Az újdonsült jövevény ugyanis egy makróvírus segítségével próbál felkerülni a számítógépekre. 

Az első lépcsőben a felhasználó egy elektronikus levél mellékleteként kap egy Word dokumentumot. A fertőzött küldeménynek általában a "My Resume" vagy az "Any Openings" kifejezések szerepelnek a tárgyában. Amennyiben a címzett a csatolt dokumentumot megnyitja, akkor a Word alkalmazásban (alapértelmezett beállítások mellett) egy figyelmeztetést kap, miszerint makrókat kellett letiltani. A csalók erre az esetre is gondoltak, ugyanis a dokumentumba gondosan beleírták, hogy mit kell tennie a felhasználónak ahhoz, hogy minden tartalmat láthasson. Ha bedől a trükknek, és engedélyezi a makrókat, akkor ugyan nem fog újabb tartalmakat látni, viszont a háttérben a makró letölt a számítógépre egy kártékony fájlt általában dro.exe néven, amit aztán el is indít. A betöltődő kártékony kód kapcsolódik egy vezérlőszerverhez, amelyről további ártalmas fájlokat, illetve utasításokat fogad. E kiszolgálón a FireEye kutatói megannyi károkozó nyomára akadtak, de ez esetben arra a pos.exe nevű fájlra élezték ki a vizsgálataikat, amely a NitlovePoS-hoz kötődött.


A fertőzött Word dokumentum - Forrás: FireEye

Amikor a NitlovePoS felkerül egy rendszerre, akkor azon csak akkor indul el, ha "-" kapcsolóval hívják meg a pos.exe fájlt. Ha elmarad a "-" paraméter, akkor a trójai semmit nem tesz. Ennek azért van jelentősége, mert ezáltal a NitlovePoS képes lehet arra, hogy automatizált víruselemző megoldásokat ejtsen át azt a látszatot keltve, hogy nem is egy ártalmas kódról van szó. 

A kitaposott út esete

Az új POS-kompatibilis kártevő a betöltődését követően már nem szolgál sok újdonsággal. A "System" és a "System Idle Process" folyamatok kivételével mindent kémlel. A különféle folyamatokhoz tartozó memóriaterületeket pásztázza, hogy bank-, illetve hitelkártyákhoz tartozó (track 1 és track 2) adatokat gyűjtsön össze. Amennyiben ez sikerül számára, akkor a megkaparintott információkat kiszivárogtatja a terjesztőinek titkosított, SSL kapcsolatokon keresztül. Emellett a vezérlőszerverével való folyamatos kommunikációjával lehetőséget ad arra, hogy az adattolvajok egy központi adminisztrációs felületen keresztül nyomon kövessék a károkozó ténykedését.


A központi adminisztrációs felület - Forrás: FireEye 

A POS kompatibilis kártékony programok miatt egyre nagyobb figyelmet kell szentelni a megfelelő vírusvédelem kialakítására és a terminálok kellő mértékű izolációjára. Nem elképzelhetetlen, hogy a közeljövőben a biztonsági cégek előrukkolnak olyan termékekkel, amelyek kifejezetten a POS-terminálok védelmét lesznek hivatottak ellátni, de addig hagyományos eszközökkel kell felvenni a kesztyűt a támadókkal szemben.
 
  1. 4

    Számos biztonsági rést foltozott be az Autodesk a különféle AutoCAD alkalmazásokon.

  2. 4

    Kritikus és nulladik napi sebezhetőségekre derült fény a Red Hat OpenShift Container Platform kapcsán.

  3. 4

    Egyre szélesebb körben indulnak az Apache Tomcat egyik hibáját kihasználó támadások.

  4. 3

    Kritikus veszélyességű hibák jelentenek kockázatot az IBM QRadar SIEM esetében.

  5. 4

    A GitLab fejlesztői fontos biztonsági frissítéseket tettek letölthetővé.

  6. 4

    A Juniper Junos OS egy nulladik napi biztonsági hiba miatt szorul frissítésre.

  7. 4

    A PHP kapcsán fél tucat sérülékenységre derült fény.

  8. 4

    Kritikus veszélyeségű hibákról számolt be a Microsoft az Edge kapcsán.

  9. 4

    Az Adobe kilenc biztonsági rést foltozott be a PDF-kezelő szoftverein.

  10. 4

    Az Adobe InDesign kritikus veszélyességű sebezhetőségektől vált meg.

Partnerhírek
8 tipp a félelemkeltő csalások elleni védelemhez

A félelem hatékony fegyver, és a hackerek tudják, hogyan győzzék meg az embereket, hogy azonnali és meggondolatlan lépéseket tegyenek.

​Az ESET nyerte az AV-Comparatives 2024-es Év Terméke díját

Az ESET elnyerte az AV-Comparatives 2024-es Év Terméke díját az ESET HOME Security Essential megoldásával.

hirdetés
Közösség