FighterPOS的功能和其他PoS恶意软件家族相似,可以收集信用卡磁道1,磁道2和CVV码,还包含内存撷取功能,此外,攻击者可以通过键盘测录功能测录到受感染终端上的按键记录。
趋势科技发现巴西有100多家受害组织受到FighterPOS的影响,已经窃取超过22,000笔不重复的信用卡号码,其创作者似乎在支付诈骗和恶意软件制造上有很长的历史,我们认为这个恶意软件创作者是独立行动,没有任何同伙协助。FighterPOS目前售价是18比特币(约为5,250美元)虽然不便宜但精心设计的控制面板和多种功能的支持,足以诱惑到攻击者。
购买
乍一看,这则广告似乎没有什么奇特的地方,但让人感兴趣的是广告和其恶意软件支持功能的专业性质。
(销售FighterPOS的广告)
控制面板和恶意软件以18.3823比特币的价格出售(大约是5,250美元),虽然价格很贵,但把钱赚回来的机会也很大。买方可以立即转售收到的信用卡数据或留待以后使用,如果攻击者想要额外的可执行文件和控制台,会额外收取800美元。
(FighterPOS控制台)
创作者通过用户名cardexpertdev,在广告里表示攻击者可以利用加密服务来确保恶意软件躲过防病毒软件侦测。
cardexpertdev除了出售FighterPOS,还贩卖信用卡号码、EMV芯片记录程序及其他类似的与诈骗相关的产品及犯罪工具给。
受害者
从C&C服务器取得的数据显示FighterPOS感染了大约113台PoS终端,发现超过90%感染机器在巴西,少数在美国、墨西哥、意大利和英国也有发现。
(FighterPOS影响机器的分布)
受感染系统能在一个月内送出22,112笔不重复的信用卡转储数据给FighterPOS攻击者,许多FighterPOS的受害者是LinxMicroVix或Linx POS系统用户, 两者都是巴西流行的软件套件。
FighterPOS功能
FighterPOS的功能跟其他PoS恶意软件家族类似,它可以收集信用卡磁道1,磁道2和CVV码,还包含内存撷取功能。此外,攻击者能够通过键盘侧录功能侧录到受感染终端上的按键纪录。
FighterPOS程序代码并非是全新的,其改写vnLoader恶意软件(针对僵尸网络)来加入PoS专用功能。它保留了其“Botnet傀儡僵尸网络”的功能,包括:
l 恶意软件自动更新
l 文件下载和执行
l 送出信用卡资料
l 送出键盘侧录数据
l 网络第7层或第4层的DDoS攻击
DDoS功能让POS恶意软件家族灵活的吸引了潜在买家。
结论
FighterPOS是一个全功能的恶意软件,精心开发了强加密功能。支持多种方式来与C&C基础设施联机。它的键盘侧录功能可以进行DDoS攻击并完全控制受害者机器。目前,我们估计每个受感染机器可以送回十个新信用卡号码。
趋势科技持续评估这个威胁,不仅研究恶意软件家族,也研究其C&C基础设施,通过终端监控和验证发现活跃着的感染活动,趋势科技的Deep Discovery Inspector可以使用入侵指标,下面列出C&C服务器和网站:
入侵指标
我们发现在使用中的C&C服务器和网站:
l 69[点]195[点]77[点]74
l ctclubedeluta[点]org
l msr2006[点]biz
l sitefmonitor[点]com