Обнаружен новый POS-вредонос, маскирующийся под программы LogMeIn

Обнаружен новый POS-вредонос, маскирующийся под программы LogMeIn

Исследователи Forcepoint наткнулись на новый образец вредоноса, атакующего POS-терминалы. Отличительной особенностью этого зловреда является попытка замаскироваться под пакет обновлений программ, разрабатываемых компанией LogMeIn.

Эксперты назвали новый образец «UDPoS» из-за его интенсивного использования протокола UDP. На данный момент непонятно, используется ли вредоносная программа в реальных атаках, однако наличие маскировки под файлы программ LogMeIn, а также URL-адресов командного C2-сервера, наталкивает специалистов на мысль, что злоумышленники все же заражают пользователей этой программой. Кроме того, исследователями были отмечены доказательства того, что раньше этот зловред маскировался под программное обеспечение от Intel.

Команда Forcepoint связалась с LogMeIn с целью уточнить, не получили ли злоумышленники доступ к каким-либо сервисам или доменам компании. Выяснилось, что ничего из вышеперечисленного не произошло, злоумышленники просто таким образом маскируют свою программу.

Несмотря на это, LogMeIn опубликовала соответствующее сообщение, уведомляющее клиентов о наличии такого образца вредоносной программы.

Forcepoint провела анализ исходного образца — файла с именем logmeinumon.exe, который показал, что вредонос обращается к серверу C2, размещенному на площадке швейцарского VPS-провайдера, этот сервер также пытается походить на сервер LogMeIn.

Далее эксперты обнаружили, что на C2 размещается другой исполняемый файл — update.exe, представляющий собой самораспаковывающийся архив 7-Zip, содержащий LogmeinServicePack_5.115.22.001.exe и logmeinumon.exe.

Исследователи отмечают, что сам код вредоноса, учитывая реализованные методы, сложно назвать выдающимся. Специалисты отметили наличие ошибок в коде, например, что касается реализованных техник антидетектирования. 

С другой стороны, авторы UDPoS используют оригинальный метод передачи данных на основе DNS.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Техносерв Cloud и Qrator Labs ритейл от DDoS в предпраздничный период

Облачный провайдер Техносерв Cloud и Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представляют обновленный комплексный сервис по защите от DDoS с одновременным использованием WAF (Web Application Firewall), ориентированный на потребности ритейла.

Сервис позволяет предотвратить вредоносные атаки на информационные системы, количество которых увеличивается в период предпраздничных распродаж. Зачастую компании вместо комплексной системы защиты от DDoS отдают предпочтение упрощенной. Однако такие решения не могут гарантировать отсутствие потерь из-за простоев бизнес-систем в период пиковой нагрузки или целенаправленной атаки. Своевременная профилактика обеспечит бесперебойную работу информационных ресурсов и позволит избежать финансовых затрат.

Теперь ритейлеры и другие клиенты с высоконагруженными веб-сайтами могут подключить обновленное решение Техносерв Cloud и Qrator Labs по защите от DDoS-атак с обеспечением дополнительного уровня безопасности за счет применения WAF. Сервис способен предотвратить многовекторные атаки, которые могут модифицировать данные и вывести бизнес-системы организации из строя.

Комплексный сервис по защите от DDoS в облаке Техносерв Cloud основан на высокотехнологичной сети фильтрации Qrator с использованием распределенной системы очистки трафика и машинного обучения для распознавания угроз и автоматической нейтрализации атак. Кроме того, услуга предусматривает многоуровневую защиту от сбоев при защите от атак и является одной из самых надежных на рынке. То есть внутренний стандарт дублирования всех компонентов распространяется не только на оборудование и электроснабжение, но и на выделенные каналы связи, точки и ЦОДы, подключения к подрядчикам. Сервис подходит для бизнеса, выручка и репутация которого напрямую зависят от безупречной стабильности работы компании.

«В высококонкурентном бизнесе DDoS является одним из распространенных средств недобросовестной борьбы. Мы предлагаем широкий набор инструментов для обеспечения максимальной безопасности информационных систем клиентов в облаке Техносерв Cloud. Приложено немало усилий для того, чтобы наши сервисы для защиты, как кирпичики, можно было встроить в решение. Например, услуга WAF может быть в любое время интегрирована в систему, не нарушая её работы. К тому же потенциальные заказчики могут пользоваться этим простым и удобным решением, например, только в периоды пиковых нагрузок на их базовую систему защиты», — отметил Михаил Блинов, руководитель Техносерв Cloud.

«DDoS-атаки остаются одной из самых заметных угроз для российского бизнеса, развивающего цифровые каналы услуг. Соответственно и уровень зрелости компаний в подходах к обеспечению кибербезопасности постепенно растет. Уже тысячи компаний из различных индустрий доверили Qrator Labs обеспечение непрерывности и стабильности работы своих информационных ресурсов, подключившись к отказоустойчивой распределенной сети фильтрации трафика Qrator.  Благодаря сотрудничеству с Техносерв Cloud мы сможем еще больше расширить пул наших клиентов, получив поддержку от нашего партнера, обладающего широкой экспертизой по реализации масштабных ИТ-проектов», — комментирует Александр Лямин, основатель и генеральный директор Qrator Labs.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru