据外媒 7 月 13 日报道,Arbor Networks Security 安全研究人员发现一款新 PoS 端恶意软件 LockPoS ,它能够利用僵尸网络 Flokibot 针对巴西用户使用的命令与控制(C&C)基础设施展开攻击活动。
Flokibot 是一款银行木马程序。自 2016 年 9 月起就已在暗网中出售。这款恶意软件由网络犯罪分子根据 2011 年泄露的 GameOver Zeus (宙斯病毒)源代码研发。
研究人员表示,LockPoS 最后一次编译于今年 6 月,并使用恶意木马 dropper 直接注入 explorer.exe 进程中肆意传播。值得注意的是,LockPoS 必须手动加载执行,然后通过从自身提取的多个组件继续下载以充当第二阶段加载器。紧接着,恶意代码将进行解密、解压与加载最终版本的 LockPoS payload。
恶意软件 LockPoS 通过 HTTP 与 C&C 服务器进行通信。一旦感染目标系统,就会向服务器发送用户名、计算机名、bot ID、bot 版本(1.0.0.6)、CPU、物理内存、显示设备、Windows 版本与架构等重要信息。监控数据显示恶意软件 LockPoS 通过 Flokibot 僵尸网络侧重攻击巴西用户系统设备。目前,研究人员尚未调查清楚 LockPoS 是否与其他恶意软件攻击者有关、是否会在暗网中进行出售。
原作者:Pierluigi Paganini,译者:青楚
from hackernews.cc.thanks for it.