Infos

Floki, malware pour terminal de point de vente doté de fonctions de ver

Les chercheurs de la société Trend Micro ont découvert deux nouvelles versions de FighterPOS, un malware qui vise les terminaux de point de vente (TPV) et qu’ils ont détecté il y a près d’un an déjà. Une de ces nouveautés est une version allégée de FighterPOS qui est seulement capable d’envoyer au serveur de commande les données de paiement récoltées sans son intervention. L’autre version, baptisée Floki Intruder, est plus complexe et dangereuse : elle est capable de se propager elle-même via le réseau auquel l’appareil infecté a été connecté.

D’après les informations de TrendMicro, cette nouvelle version de Floki recherche les disques logiques et y charge sa copie avec le fichier autorun.inf, via le système standard WMI (Windows Management Instrumentation). « L’ajout de cette routine secondaire est parfaitement justifiable dans ce cas : dans la mesure où les TPV sont souvent réunis au sein d’un réseau, la fonction de propagation permet à l’attaquant non seulement d’infecter facilement le plus de terminaux, mais elle complique également l’assainissement du système » écrivent les chercheurs sur un blog. « Tant que le réseau comptera au moins un terminal infecté, une nouvelle infection du reste des terminaux sera inévitable. »

La première publication consacrée à FighterPOS sur le site de Trend Micro remonte à avril 2015. A l’époque, ce malware avait infecté plus de 100 organisations au Brésil et avait réussi à voler plus de 22 000 numéros de carte de crédit.

Comme l’a démontré l’analyse, la version « autonome » de Floki, à l’instar de FighterPOS, repose sur le client de bot vnLoader, mais a probablement été compilé sur une autre machine. Tout comme son prédécesseur, il est également capable de surveiller les solutions de protection à l’aide de WMI et de désactiver UAC, le pare-feu ainsi que d’autres outils de protection par défaut. Floki se propage également via des sites compromis et peut également recevoir des mises à jour depuis le serveur de commande.

Ceci étant dit, les experts estiment que l’auteur de Floki n’est pas le même. Cette hypothèse repose sur la présence de certaines lignes dans le code source ainsi que de commentaires écrits en anglais, et non en portugais comme dans FighterPOS.

Le deuxième nouveau successeur de FighterPOS n’a pas hérité de vnLoader, ce qui explique les différences au niveau de son système de communication avec le serveur de commande. Il est de plus petite taille et ses fonctions sont assez limitées ; il n’est pas capable de recevoir des instructions via une backdoor, ni de récolter des informations sur le système infecté. Ce malware se contente d’établir une connexion avec le serveur de commande et transmet à ce dernier les données de paiement récoltées par ses confrères capables de lire ces informations dans la mémoire vivre. Les experts ont analysé plusieurs modifications de la version allégée de FighterPOS et ils estiment qu’il ne s’agit pour l’instant que d’un concept qui pourrait s’enrichir d’autres fonctions à l’avenir.

D’après les statistiques de Trend Micro, entre le 23 janvier et le 16 février, 93,77 % de l’ensemble des infections via FighterPOS ont touché le Brésil. Les chiffres pour les Etats-Unis depuis le mois d’avril enregistrent une hausse sensible de 1 à 6 %. Floki en est le responsable.

Fonte: Securityweek

Floki, malware pour terminal de point de vente doté de fonctions de ver

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception