Floki, malware pour terminal de point de vente doté de fonctions de ver

Les chercheurs de la société Trend Micro ont découvert deux nouvelles versions de FighterPOS, un malware qui vise les terminaux de point de vente (TPV) et qu’ils ont détecté il y a près d’un an déjà. Une de ces nouveautés est une version allégée de FighterPOS qui est seulement capable d’envoyer au serveur de commande les données de paiement récoltées sans son intervention. L’autre version, baptisée Floki Intruder, est plus complexe et dangereuse : elle est capable de se propager elle-même via le réseau auquel l’appareil infecté a été connecté.

D’après les informations de TrendMicro, cette nouvelle version de Floki recherche les disques logiques et y charge sa copie avec le fichier autorun.inf, via le système standard WMI (Windows Management Instrumentation). « L’ajout de cette routine secondaire est parfaitement justifiable dans ce cas : dans la mesure où les TPV sont souvent réunis au sein d’un réseau, la fonction de propagation permet à l’attaquant non seulement d’infecter facilement le plus de terminaux, mais elle complique également l’assainissement du système » écrivent les chercheurs sur un blog. « Tant que le réseau comptera au moins un terminal infecté, une nouvelle infection du reste des terminaux sera inévitable. »

La première publication consacrée à FighterPOS sur le site de Trend Micro remonte à avril 2015. A l’époque, ce malware avait infecté plus de 100 organisations au Brésil et avait réussi à voler plus de 22 000 numéros de carte de crédit.

Comme l’a démontré l’analyse, la version « autonome » de Floki, à l’instar de FighterPOS, repose sur le client de bot vnLoader, mais a probablement été compilé sur une autre machine. Tout comme son prédécesseur, il est également capable de surveiller les solutions de protection à l’aide de WMI et de désactiver UAC, le pare-feu ainsi que d’autres outils de protection par défaut. Floki se propage également via des sites compromis et peut également recevoir des mises à jour depuis le serveur de commande.

Ceci étant dit, les experts estiment que l’auteur de Floki n’est pas le même. Cette hypothèse repose sur la présence de certaines lignes dans le code source ainsi que de commentaires écrits en anglais, et non en portugais comme dans FighterPOS.

Le deuxième nouveau successeur de FighterPOS n’a pas hérité de vnLoader, ce qui explique les différences au niveau de son système de communication avec le serveur de commande. Il est de plus petite taille et ses fonctions sont assez limitées ; il n’est pas capable de recevoir des instructions via une backdoor, ni de récolter des informations sur le système infecté. Ce malware se contente d’établir une connexion avec le serveur de commande et transmet à ce dernier les données de paiement récoltées par ses confrères capables de lire ces informations dans la mémoire vivre. Les experts ont analysé plusieurs modifications de la version allégée de FighterPOS et ils estiment qu’il ne s’agit pour l’instant que d’un concept qui pourrait s’enrichir d’autres fonctions à l’avenir.

D’après les statistiques de Trend Micro, entre le 23 janvier et le 16 février, 93,77 % de l’ensemble des infections via FighterPOS ont touché le Brésil. Les chiffres pour les Etats-Unis depuis le mois d’avril enregistrent une hausse sensible de 1 à 6 %. Floki en est le responsable.

Fonte: Securityweek

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *