کمیته رکن چهارم – اخیراً بدافزاری بر روی پایانههای فروش کشف شده که توسط یک بارگیریکننده بر روی سامانهی هدف بارگیری و نصب میشود. این تهدید جدید با کارگزارهای دستور و کنترل متعلق به باتنت Flokibot ارتباط داشته و در پویشهایی کشور برزیل را هدف قرار داده است. این بدافزار LockPoS نام داشته و آخرین بار در ماه ژوئن کامپایل شده و از یک بارگیریکننده برای تزریق خود در پردازهی explorer.exe استفاده میکند.
پس از اینکه بدافزار بهطور دستی بارگذاری و نصب شد، بارگیریکننده با بازیابی یک پروندهی منبع به کار خود ادامه میدهد. این منبع دارای چندین مؤلفه است که به پردازهی explorer.exe تزریق میشوند که قادر خواهد بود بهعنوان بارگیریکنندهی مرحلهی دوم مورد استفاده قرار بگیرد. در ادامه نیز رمزگشایی، خارج کردن از حالت فشرده و بارگذاری بار دادهی نهایی LockPoS را انجام میدهد.
محققان با تجزیه و تحلیل بر روی این بدافزار متوجه شدند که برای مبهمسازی برخی از رشتههای مهم از XOR و کلید A استفاده میکند. بدافزار همچنین یک پیکربندی اولیه را بهطور رمزنگارینشده و با ساختار باینری ذخیره میکند. بدافزار با کارگزار دستور و کنترل از طریق پروتکل HTTP ارتباط برقرار میکند. اطلاعاتی که برای کارگزار ارسال میشود حاوی نام کاربری، نام رایانه و شناسهی بات، نسخهی بات، پردازنده، حافظهی فیزیکی، دستگاههای نمایش، نسخهی ویندوز و معماری آن است.
محققان امنیتی توضیح دادند: «قابلیت سرقت اطلاعات کارتهای اعتباری از پایانههای فروش در این بدافزار بسیار مشابه سایر بدافزارهای این حوزه است. این بدافزار حافظهی مربوط به سایر برنامههای در حال اجرا را پویش میکند تا مطابقتها و دادههایی مشابه شمارهی کارتهای اعتباری را به سرقت ببرد.» تاکنون این بدافزار توسط باتنت Flokibot توزیع شده و به نظر میرسد عوامل هر دوی آنها یکی است. به دلیل اینکه باتنت Flokibot با این کارگزار دستور و کنترل، کاربران برزیلی را هدف قرار داده، محققان معتقدند که بدافزار LockPoS نیز دستگاههای موجود در کشور برزیل را آلوده کرده است.
