IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

NitlovePOS : un nouveau malware qui vise les points de vente


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 483
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 483
    Points : 78 517
    Points
    78 517
    Billets dans le blog
    2
    Par défaut NitlovePOS : un nouveau malware qui vise les points de vente
    NitlovePOS : un nouveau malware qui vise les points de vente
    Les attaquants utilisent les spams comme moyen de propagation

    La firme de sécurité FireEye vient de découvrir une nouvelle variante de malware de points de vente (POS) dans une campagne de spams. Ce type de logiciels malveillants a été de plus en plus utilisé pour voler les informations des cartes de paiement à partir des terminaux de points de vente.

    Les logiciels malveillants PoS ont été à l’origine de certaines des plus grandes violations de carte de crédit à ce jour. Si ce type de menace n’est donc par récent, c’est surtout le mode de propagation de NitlovePOS - le nouveau malware des terminaux des points de vente – qui est inhabituel. Le nouveau logiciel malveillant découvert par les chercheurs de FireEye est en effet camouflé dans des messages électroniques indésirables.

    Dans la campagne observée, les attaquants ont envoyé des mails à leurs victimes depuis des comptes Yahoo piratés. Les courriels faisaient principalement référence à des opportunités d’emploi avec des objets contenant les mots clés comme « emploi », « stage » ou « cv ». Les spams contenaient également une pièce jointe nommée CV_[…].doc ou My_Resume_[…].doc, avec une macro malveillante. Un message notifiant que le document est un « document protégé » permettait encore de tromper les utilisateurs pour qu’ils activent la macro.

    Lorsque la macro malveillante est activée, elle procède à l’installation d’un programme qui télécharge d’autres malwares depuis des serveurs distants en fonction du profil de la machine compromise. Les chercheurs ont observé plusieurs types de malwares dont certains avaient l’extension « pos.exe ». Ayant soupçonné ces derniers programmes d’être des malwares POS, une analyse technique a permis aux chercheurs de s’en assurer.

    Les logiciels malveillants « pos.exe » sont en effet téléchargés sur les machines, lorsque le programme initial détecte un ordinateur de point de vente. Comme plusieurs des malwares POS connus à ce jour, NitlovePOS est doté d’une fonctionnalité de « scraping » de mémoire, qui lui permet d’extraire les informations de la mémoire des terminaux de paiement. Il est capable de capturer et d’exfiltrer les données des cartes de crédits. Mais avant de pouvoir accomplir sa mission, il entreprend certaines actions pour éviter d’être détectée sur la machine infectée.

    Lorsqu’il est exécuté, NitlovePOS se copie sur le disque en utilisant une technique de dissimulation bien connue via NTFS Alternate Data Streams (ADS). Il crée ensuite un script VBS qu’il enregistre sur le disque, en utilisant à nouveau l’ADS. Cela garantit que les fichiers ne soient pas visibles dans le système de fichiers. Ils sont donc plus difficiles à localiser et à détecter.

    Le script VBS va permettre de restaurer le malware s’il est supprimé. Il surveille en effet les tentatives de suppression du processus malveillant via l'évènement InstanceDeletion, avant d’exécuter le programme de restauration. En s’ajoutant à la clé de Registre Run, le malware s’assure également qu'il va s'exécuter automatiquement après chaque redémarrage.

    Après avoir passé ces étapes, NitlovePOS va se décoder en mémoire pour commencer à rechercher des données de cartes de paiement. S’il ne trouve pas de données, le malware fait une pause de 5 minutes avant de relancer la recherche une nouvelle fois. Lorsqu’il arrive à extraire les données de la mémoire de la machine, le malware les envoie à un serveur web utilisant le protocole SSL. Les attaquants peuvent dès lors vendre ces informations sur le marché noir pour la fabrication de cartes de paiement frauduleuses.

    Source : FireEye

    Et vous ?

    Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    De ce que je lit il faudrait ouvrir la pièce jointe sur le PC ayant le logiciel et matériel de vente installé dessus, rien qu'avec ça on compromet un terminal critique
    Rien, je n'ai plus rien de pertinent à ajouter

Discussions similaires

  1. Zberp : le malware qui combine les caractéristiques de Zeus et Carbep
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 1
    Dernier message: 29/05/2014, 08h48
  2. Application qui compte les points au tarot
    Par dorian100100 dans le forum Android
    Réponses: 3
    Dernier message: 20/05/2014, 18h51
  3. Réponses: 2
    Dernier message: 29/01/2014, 12h08
  4. Sécurité : un nouveau malware cible principalement les serveurs Tomcat
    Par Cedric Chevalier dans le forum Sécurité
    Réponses: 5
    Dernier message: 29/11/2013, 10h14
  5. Réponses: 13
    Dernier message: 04/01/2010, 18h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo