کمیته رکن چهارم – کارشناسان امنیتی Arbor network در بررسیهای اولیه خود موفق به شناسایی بدافزار LockPoS در سیستم پایانه فروشگاهی شدند. نحوه فعالیت این بدافزار بهگونهای است که پس از به دست گرفتن مرکز کنترل و فرماندهی (C&C) فعالیت مخرب خود را اجرا میکند این در حالی است که بدافزار موردنظر برای شروع کاربران برزیلی را هدف حملات خود قرار داده است.
ربات Folkit تروجانی مبتنی بر باجافزار زئوس است که از سپتامبر ۲۰۱۶ توسط گروههای هکری زیرزمینی ارائهشده است و پس از دریافت و قرار گرفتن روی زیرساخت موردنظر از کاربر برای بازیابی اطلاعات دریافت ۱۰۰۰ دلار بیت کوین را درخواست میکند.
کارشناسان امنیتی Flashpoint پس از بررسیهای اولیه بدافزار مذکور اعلام کردند که منشأ اولیه فعالیت بدافزار کشور برزیل است. بدافزار نامبرده برای پیش برد اهداف خود فایلهای مخرب را با پسوند explorer.exe را برای کاربران ارسال میکند. نحوه فعالیت بدافزار به اینگونه است که باید بهصورت دستی بارگذاری شود سپس فایلهای منبع خود را که حاوی اجزای متعددی است بهصورت explorer.exe به هدف موردنظر تزریق میکند.
بدافزار نامبرده پس از ارتباط با سرور C & C از طریق پروتکل HTTP پس از آلوده کردن سیستم اطلاعاتی ازجمله نام کاربری، نام رایانه و شناسه ربات، نسخه بدافزار، حافظه فیزیکی، صفحهنمایش دستگاههای متصل، ویندوز مورداستفاده در سیستم را موردبررسی قرار میدهد در این میان از دیگر قابلیتهای این بدافزار میتوان به استفاده از الگوریتم MD5 برای هش کردن اطلاعات استفاده میکند.
بدافزار LockPoS با استفاده از ربات Folkit فعالیت خود را در کشور برزیل شروع کرده است این در حالی است که محققان بر این باورند که مهاجمان با استفاده از سرورهای C&C مشابه به زیرساخت موردنظر حمله کرده و فعالیت خود را پیش میبرند.
منبع : سایبربان
