นักวิจัยจาก Arbor Networks Security เตือนว่ามีการตรวจพบ malware ตัวใหม่ซึ่งแพร่กระจายผ่าน dropper โดยการโหลด และติดตั้งลงบนระบบจากผู้ใช้งาน ภัยคุกคามครั้งใหม่นี้มีความเกี่ยวข้องกับ command and control (C&C) servers ซึ่งถูกใช้งานโดย Flokibot ซึ่งเป็นส่วนหนึ่งใน campaign ที่มีเป้าหมายเป็นประเทศ Brazil โดยเป็นที่เชื่อกันว่า malware ตัวนี้ถูก compile ในช่วงปลายเดือนมิถุนายนที่ผ่านมา และใช้ dropper ในการเข้าสู่ตัว explorer.exe process แบบโดยตรง เมื่อเข้ามาแล้วจะทำการปลอยตัวไฟล์ที่เก็บไว้ในตัวออกมา ซึ่งประกอบไปด้วย องค์ประกอบย่อยๆ ซึ่งทำหน้าที่เป็นตัว loader ระยะที่สองในการ inject เข้าสู่ตัว explorer.exe process จากนั้นจะเริ่ม decrypt decompress และ โหลด LockPoS payload ตัวสุดท้าย
Malware อีกตัวหนึ่งคือ malware’s PoS credit card stealing โดยมีการทำงานคล้ายกับการทำงานของ POS malware ตัวอื่นๆ ซึ่งก็คือการ scan memory ของโปรแกรมอื่นๆ ที่กำลังทำงานอยู่เพื่อค้นหาข้อมูลที่ตรงกับข้อมูลจาก credit card track data โดยที่ในตอนนี้ malware ตัวใหม่กำลังใช้ Flokibot botnet ในการแพร่กระจาย และทั้งสองตัวนี้กำลังใช้ C&C server ร่วมกัน นักวิจัยจึงเชื่อว่าเป็นการกระทำของคนคนเดียวกัน เพราะว่าตัว Flokibot campaign พุ่งเป้าไปที่ Brazil นักวิจัยจึงคิดว่า LockPoS มีเป้าหมายเดียวกัน แต่ในตอนนี้ยังไม่เป็นที่แน่ชัดว่า LockPoS เป็น malware ที่เกิดจากคนคนเดียวหรือไม่ หรือจะถูกนำไปจำหน่ายต่อแบบลับๆ LockPoS ถูกออกแบบ code มาดี และมีความเสถียร แต่ยังเทียบกับ malware ที่มีความล้ำหน้าตัวอื่นๆ ไม่ได้มาก
ที่มา : securityweek
You must be logged in to post a comment.