新 PoS 端恶意软件 LockPoS 利用僵尸网络肆意传播

据外媒 7 月 13 日报道，Arbor Networks Security 安全研究人员发现一款新 PoS 端恶意软件 LockPoS ，它能够利用僵尸网络 Flokibot 针对巴西用户使用的命令与控制（C＆C）基础设施展开攻击活动。

Flokibot 是一款银行木马程序。自 2016 年 9 月起就已在暗网中出售。这款恶意软件由网络犯罪分子根据 2011 年泄露的 GameOver Zeus （宙斯病毒）源代码研发。

研究人员表示，LockPoS 最后一次编译于今年 6 月，并使用恶意木马 dropper 直接注入 explorer.exe 进程中肆意传播。值得注意的是，LockPoS 必须手动加载执行，然后通过从自身提取的多个组件继续下载以充当第二阶段加载器。紧接着，恶意代码将进行解密、解压与加载最终版本的 LockPoS payload。

恶意软件 LockPoS 通过 HTTP 与 C＆C 服务器进行通信。一旦感染目标系统，就会向服务器发送用户名、计算机名、bot ID、bot 版本（1.0.0.6）、CPU、物理内存、显示设备、Windows 版本与架构等重要信息。监控数据显示恶意软件 LockPoS 通过 Flokibot 僵尸网络侧重攻击巴西用户系统设备。目前，研究人员尚未调查清楚 LockPoS 是否与其他恶意软件攻击者有关、是否会在暗网中进行出售。

原作者：Pierluigi Paganini，译者：青楚

from hackernews.cc.thanks for it.