出門刷卡要小心！一種可以從POS機終端收集信用卡信息的惡意軟體出現了

Neutrino與其他惡意軟體研發者一樣，都希望他們所研發的惡意軟體能夠長期地被黑客利用並佔據一定的市場份額，所以Neutrino不斷出現新的變體就不足為奇了。其中比較知名的是Zeus，卡巴斯基實驗室將其檢測為Trojan-Spy.Win32.Zbot，每年都會產生新的變異。另外像Mirai，NJRat，Andromeda等惡意軟體家族也都發展的比較迅猛。

在本文中，專家們會分析一種非常特殊的Neutrino變異體，一種可以從POS機終端收集信用卡信息的變體。

卡巴斯基實驗室其檢測為Trojan-Banker.Win32.NeutrinoPOS

描述文件的MD5：0CF70BCCFFD1D2B2C9D000DE496D34A1

攻擊前的準備階段

該變體在開始之前會經過一段長時間的「睡眠」隱蔽狀態，因為這樣能繞過許多安全產品的沙箱檢測。為了確定延遲時間，該變體會使用偽隨機數生成器（pseudorandom number generator）。

C＆C通信

在這個階段，該變體會從其後台中提取了C＆C地址列表。該列表是Base64編碼，解碼後，該變體會嘗試使用以下演算法找到一個工作的C＆C：

1.將POST請求發送到伺服器，通過其base64字元串「enter」（ZW50ZXI =）中的自身編碼。所有編碼的字元串都包含前綴「_wv =」

你還應該注意到，在每個POST請求的標題中都有「auth」欄位，對於NeutrinoPOS的每個樣本，它們保持不變。

恢復C＆C伺服器檢查的代碼

存儲在註冊表處的C＆C地址HKCR Sofrware alFSVWJB與NeutrinoPOS樣本使用的其他變數和數據相同。變體名稱與這裡描述的不同，但是在兩個樣本完全比較之後，專家可以判定兩個樣品都是對Neutrino的修改。

C＆C命令

以上描述的變體功能如下：

1.下載並啟動文件；2. 屏幕截圖；3.按名稱搜索運行過程；4.變更寄存器下分支的指令;5.在感染的主機上按名稱搜索文件，並將其發送到C＆C;6.代理

伺服器以簡單的方式發送命令，如「PROXY」，「screenshot」等，以base64編碼。經過分析，在當前版本的Neutrino中，沒有DDoS攻擊的功能。

命令控制和計算的補充

幾個命令的例子（在上面的截圖上用紅色標記）：

Rolxor（「PROXY」）= 0xA53EC5CRolxor（「screenshot」）= 0xD9FA0E3

NeutrinoPOS命令處理程序

竊取信用卡

竊取信用卡信息的演算法在木馬中實現很簡單，具體描述如下：

1.木馬開始使用當前運行的進程，使用CreateToolhelp32Snapshot Process32FirstW Process32NextW。

2.使用OpenProcess VirtualQuery ReadProcessMemory，該木馬獲取有關進程的內存頁面的信息。

3.木馬掃描內存頁面的字元串「Track1」，它標記磁卡的第一個磁軌的欄位。所有描述的領域一個接一個：

3.1 「0」到「9」範圍內的符號序列，長度等於15,16或19.使用Luhn演算法進行序列檢查。

3.2 在下一個和前一個欄位中檢查分離符號"^ 的存在。

3.3 提取持卡人名稱，最大長度，基於ISO / IEC 7813，等於26符號：

3.3 休息數據（Rest data）（CVC32，有效期，CVV）作為整個代碼塊被提取，並檢查長度和內容：

4.收集的數據發送到具有標記「Track1」的伺服器。

5.這時，木馬就開始提取帶有標記「Track2」的下一個欄位：

5.1首先，它提取PAN與前一個階段相同的檢查。

5.2 作為使用「 」或「D」的分離符號

5.3 Track2不包含持卡人名稱，因為休息數據作為整個代碼塊被提取

6.收集的數據發送到伺服器，標有「Track2」

對POS機終端的感染統計

最大的感染區域是俄羅斯和哈薩克，其中受感染的電腦中近10％屬於小企業客戶。

總結

從描述的Neutrino的變異版本可以看出，儘管Neutrino屬於一個已經古老的惡意軟體家族，但它仍然以非典型功能或應用的形式出現在黑客的手中。例如，我們可以看到它使用了與 Mirai技術分叉(fork)相同的技術。

一般來說，所有具有良好架構和各種功能的惡意軟體源代碼一旦被公布，就將引起惡意軟體開發者的極大興趣和關注，他們將嘗試將其用於幾乎所有可能的非法獲利方式。我們可以假設，現在可能已經有人利用Neutrino來進行加密貨幣的挖掘，只是我們還尚未發現具體案例而已。

MD5

CECBED938B10A6EEEA21EAF390C149C1

66DFBA01AE6E3AFE914F649E908E9457

9D70C5CDEDA945CE0F21E76363FE13C5

B682DA77708EE148B914AAEC6F5868E1

5AA0ADBD3D2B98700B51FAFA6DBB43FD

A03BA88F5D70092BE64C8787E7BC47DE

D18ACF99F965D6955E2236645B32C491

C2814C3A0ACB1D87321F9ECFCC54E18C

7C6FF28E0C882286FBBC40F27B6AD248

729C89CB125DF6B13FA2666296D11B5A

855D3324F26BE1E3E3F791C29FB06085

2344098C7FA4F859BE1426CE2AD7AE8E

C330C636DE75832B4EC78068BCF0B126

CCBDB9F4561F9565F049E43BEF3E422F

53C557A8BAC43F47F0DEE30FFFE88673

C&C

hxxp://pranavida.cl/director/tasks.php

hxxps://5.101.4.41/panel/tasks.php

hxxps://5.101.4.41/updatepanel/tasks.php

hxxp://jkentnew.5gbfree.com/p/tasks.php

hxxp://124.217.247.72/tasks.php

hxxp://combee84.com/js/css/tasks.php

hxxp://nut29.xsayeszhaifa.bit/newfiz29/logout.php

hxxp://nut29.nsbacknutdoms11war.com/newfiz29/logout.php

hxxp://jbbrother.com/jbb/meaca/obc/pn/tasks.php

hxxp://ns1.posnxqmp.ru/PANEL/tasks.php

hxxp://nut25.nsbacknutdoms11war.com/newfiz25/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！