보안 전문가들은 2014 년 12 월 새로운 POS 악성 코드를 확인했다고 보고 했습니다. 이 POS 악성 코드는 러시아의 언더 그라운드 포럼에서의 호칭에서 "LusyPOS"라고 명명 트렌드 마이크로 제품은 "TSPY_POSLUSY.A "로 감지되는 악성 프로그램입니다. 보안 전문가들은 그 해석에서 "LusyPOS"는 "Dexter "제품군과 관련된 몇 가지 특징을 가지고 있지만, 그 행동에서"ChewBacca "제품군 ("TSPY_FYSNA.A "로 검색)도 관련있다 고 있습니다. "ChewBacca"익명 통신 시스템 "The Onion Router (Tor)"을 이용하여 명령 및 제어 (C & C) 서버에 접속하는 것으로 알려져 있습니다.
그러나 당사는 "LusyPOS"는 Tor를 이용하지만, "ChewBacca"보다 "Dexter"고 밝혔다 관련성이 있다고 생각합니다. "Dexter"와 "ChewBacca"는 코드에서 사용되는 텍스트 문자열에 뚜렷한 차이가 있습니다.예를 들어, "Dexter"코드에 사용되는 변수 이름의 일부는 "ChewBacca"는 확인되지 않습니다."Dexter"는 장기간에 걸쳐 불법 활동을하고있는 가장 유명한 POS 악성 코드의 하나입니다. 당사는 사용자를 보호하기 위해이 위협 동향을주의 깊게 감시하고 있습니다.
지금까지 확인 된 POS 악성 코드를 분석 한 당사의 리서치 페이퍼 " PoS RAM scraper malware : Past, Present, and Future (영문) "에서는 이러한 POS 악성 코드의 종류와 방법을 채택하고 있습니다."LusyPOS"에서 볼 수있는 여러 문자열은 "Dexter"에서도 확인할 수 있습니다. 예를 들어, 다음 문자열은 "Dexter"에서 사용되는 HTTP POST 변수로 알려져 있습니다.
- page
- ump
- ks
- opt
- unm
- cnm
- view
- spec
- query
- val
- var
- nbsp
마찬가지로 다음의 명령도 "Dexter"이 처리하는 것으로 알려져 있습니다.
- Download (파일 다운로드 및 실행)
- Update (복사본 업데이트)
- Checkin (악성 프로그램의 정보 전송 지연을 설정)
- Scanin (악성 프로그램이 정보의 메모리를 확인하는 지연을 설정)
- Uninstall (자신의 제거)
연구 논문에서는 "ChewBacca"이 이용하는 문자열도 다루고 있습니다 만, 「LusyPOS "을 분석 한 결과,"ChewBacca "이 이용하는 문자열은 존재하지 않는 것으로 확인되고 있습니다.
이러한 정보를 통해이 새로운 POS 악성 코드 "LusyPOS"는 "ChewBacca"보다 "Dexter"이라고 관련성이 가까운 것을 시사하고 있습니다. 즉, "LusyPOS"는 "ChewBacca"의 Tor 사용을 모방 한 "Dexter"의 새로운 변종이라고 생각할 수 있습니다. "Dexter"이 가져온 위협을 감안할 때, 지금까지의 POS 악성 코드에 큰 위협이 추가 된 것입니다. 특히 연말의 휴가 시즌 에는 이러한 기능을 갖춘 POS 악성 코드의 등장은 사이버 범죄자에게 환영받을 것입니다.
이 POS 악성 코드를 확인 한 보안 전문가는 POS 시스템이 Tor 네트워크에 연결하는 것은 매우 드문이라고 언급하고, 확실히 그대로 것입니다. 적절한 방화벽 및 기타 네트워크 솔루션을 도입하여 POS 악성 코드가 확인 된 경우에 그 불법 활동을 탐지하고 방지 할 수 있습니다.
'Security_News > 해외보안소식' 카테고리의 다른 글
| 소니 픽쳐스 공격 - 충분한 설명 없어 (0) | 2014.12.15 |
|---|---|
| "네트워크 카메라 이미지 무단 공개 사이트 '보도에서 고려해야 할듯 (0) | 2014.12.11 |
| 12 월 8 일부터 급증 청구서 위장 스팸 주요 목적은 국내 은행 인증 정보 있습니까? (0) | 2014.12.11 |
| 소니 픽쳐스 직원, 협박 메일 받아 (0) | 2014.12.11 |
| 툴라 악성코드 리눅스 변종 탐지 (0) | 2014.12.10 |