NitlovePOS : un nouveau malware qui vise les points de vente
Les attaquants utilisent les spams comme moyen de propagation
La firme de sécurité FireEye vient de découvrir une nouvelle variante de malware de points de vente (POS) dans une campagne de spams. Ce type de logiciels malveillants a été de plus en plus utilisé pour voler les informations des cartes de paiement à partir des terminaux de points de vente.
Les logiciels malveillants PoS ont été à l’origine de certaines des plus grandes violations de carte de crédit à ce jour. Si ce type de menace n’est donc par récent, c’est surtout le mode de propagation de NitlovePOS - le nouveau malware des terminaux des points de vente – qui est inhabituel. Le nouveau logiciel malveillant découvert par les chercheurs de FireEye est en effet camouflé dans des messages électroniques indésirables.
Dans la campagne observée, les attaquants ont envoyé des mails à leurs victimes depuis des comptes Yahoo piratés. Les courriels faisaient principalement référence à des opportunités d’emploi avec des objets contenant les mots clés comme « emploi », « stage » ou « cv ». Les spams contenaient également une pièce jointe nommée CV_[…].doc ou My_Resume_[…].doc, avec une macro malveillante. Un message notifiant que le document est un « document protégé » permettait encore de tromper les utilisateurs pour qu’ils activent la macro.
Lorsque la macro malveillante est activée, elle procède à l’installation d’un programme qui télécharge d’autres malwares depuis des serveurs distants en fonction du profil de la machine compromise. Les chercheurs ont observé plusieurs types de malwares dont certains avaient l’extension « pos.exe ». Ayant soupçonné ces derniers programmes d’être des malwares POS, une analyse technique a permis aux chercheurs de s’en assurer.
Les logiciels malveillants « pos.exe » sont en effet téléchargés sur les machines, lorsque le programme initial détecte un ordinateur de point de vente. Comme plusieurs des malwares POS connus à ce jour, NitlovePOS est doté d’une fonctionnalité de « scraping » de mémoire, qui lui permet d’extraire les informations de la mémoire des terminaux de paiement. Il est capable de capturer et d’exfiltrer les données des cartes de crédits. Mais avant de pouvoir accomplir sa mission, il entreprend certaines actions pour éviter d’être détectée sur la machine infectée.
Lorsqu’il est exécuté, NitlovePOS se copie sur le disque en utilisant une technique de dissimulation bien connue via NTFS Alternate Data Streams (ADS). Il crée ensuite un script VBS qu’il enregistre sur le disque, en utilisant à nouveau l’ADS. Cela garantit que les fichiers ne soient pas visibles dans le système de fichiers. Ils sont donc plus difficiles à localiser et à détecter.
Le script VBS va permettre de restaurer le malware s’il est supprimé. Il surveille en effet les tentatives de suppression du processus malveillant via l'évènement InstanceDeletion, avant d’exécuter le programme de restauration. En s’ajoutant à la clé de Registre Run, le malware s’assure également qu'il va s'exécuter automatiquement après chaque redémarrage.
Après avoir passé ces étapes, NitlovePOS va se décoder en mémoire pour commencer à rechercher des données de cartes de paiement. S’il ne trouve pas de données, le malware fait une pause de 5 minutes avant de relancer la recherche une nouvelle fois. Lorsqu’il arrive à extraire les données de la mémoire de la machine, le malware les envoie à un serveur web utilisant le protocole SSL. Les attaquants peuvent dès lors vendre ces informations sur le marché noir pour la fabrication de cartes de paiement frauduleuses.
Source : FireEye
Et vous ?
Qu’en pensez-vous ?
Partager