Mια νέα, εξελιγμένη παραλλαγή του FrameworkPoS έχει εμφανιστεί στο προσκήνιο
Μια νέα έκδοση του FrameworkPoS έχει εντοπιστεί από ερευνητές ασφαλείας της Trustwave, η οποία φέρει εξελιγμένα χαρακτηριστικά αλλά εμφανίζει επίσης και κάποια ασυνήθιστη δραστηριότητα, όπως θα δούμε και παρακάτω.
Το FrameworkPoS είναι ένα παλιό POS (Point of Sale) malware, το οποίο σύμφωνα με τους ειδικούς φέρεται να ευθύνεται για την τεράστια παραβίαση δεδομένων που σημειώθηκε στην Home Depot κατά τη διάρκεια του περασμένου έτους, όπου διέρρευσαν τα στοιχεία 56 εκατομμυρίων καρτών πληρωμών.
[alert variation=”alert-success”]Οι ερευνητές ασφάλειας ανιχνεύουν συνεχώς νέες βαριάντες της συγκεκριμένης οικογενείας malware, ενώ η πιο πρόσφατη παραλλαγή που εντοπίστηκε δείχνει ότι οι προγραμματιστές του FrameworkPoS ετοιμάζονται να προχωρήσουν σε πλήρη αναθεώρηση του λογισμικού.[/alert]
Και ενώ ορισμένες λειτουργίες του POS, όπως οι διαδικασίες κωδικοποίησης, ο μηχανισμός εκδιήθησης δεδομένων (data exfiltration) και το χαρακτηριστικό “memory scraping process blacklisting” έχουν παραμείνει ανέγγιχτα, η νέα έκδοση ενσωματώνει επίσης κάποιες σημαντικές αλλαγές.
«Οι προηγούμενες εκδόσεις του FrameworkPoS εγκαθίστανται ως services σε μια προσπάθεια να αποκρυφθούν και να διατηρηθούν στα συστήματα των θυμάτων», εξηγεί ο Eric Merritt της Trustwave. «Η συγκεκριμένη έκδοση χρησιμοποιεί δύο PowerShell scripts, που μπορεί να εγχύσουν είτε μια 32bit-η είτε μια 64bit-η έκδοση του κακόβουλου λογισμικού στη μνήμη».
Με τον τρόπο αυτό, οι φορείς του malware καθιστούν την ανίχνευσή του πιο δύσκολη από ποτέ, καθώς δεν εκθέτουν τα binaries στο δίσκο του υπολογιστή o oποίος σαρώνεται εξονυχιστικά από τα λογισμικά antivirus κατά την αναζήτηση νέων απειλών.
Αυτή η σημαντική αλλαγή του τρόπου λειτουργίας μας οδηγεί να πιστέψουμε ότι το κακόβουλο λογισμικό πρόκειται να μετεξελιχθεί σε σημαντικό βαθμό, σε επόμενες εκδόσεις.
FrameworkPoS, έκδοση…Φρανκενστάιν
Όπως εξηγούν οι ερευνητές της Trustwave, «αυτή η παραλλαγή έχει μια αίσθηση …Φρανκενστάιν», αναφερόμενοι στα πολυάριθμα “θραύσματα” κώδικα που έχουν “ραφτεί” μεταξύ τους, και από τα οποία ελάχιστες γραμμές κώδικα χρησιμοποιούνται στην πραγματικότητα.
Η συγκεκριμένη έκδοση του κακόβουλου λογισμικού φαίνεται να βρίσκεται υπό ανάπτυξη, καθώς οι δημιουργοί της δεν έχουν ελέγξει το source code προκειμένου να αφαιρέσουν τυχόν νεκρά κομμάτια κώδικα που δεν χρησιμοποιούνται πια, είτε έχουν αντιγραφεί και επικολληθεί από προηγούμενες εκδόσεις του FrameworkPoS.
Επιπλέον, η θεωρία μας ότι πρόκειται για κάποια ενδιάμεση έκδοση μεταξύ των βασικών εκδόσεων του FrameworkPoS, υποστηρίζεται επίσης από μια ασυνήθιστη συμπεριφορά που εμφανίζει το malware.
Σύμφωνα με την Trustwave, κάθε φορά που το κακόβουλο λογισμικό εντοπίζει έναν αριθμό κάρτας πληρωμών, αντί να τον υποκλέπτει άμεσα, πραγματοποιεί έλεγχο με βάση ένα σύνολο κανόνων, χρησιμοποιώντας κάποια φίλτρα αριθμών πιστωτικών καρτών που είναι ενσωματωμένα στον κώδικά του.
Αυτή η λειτουργία ωστόσο δεν έχει ιδιαίτερο νόημα για ένα POS malware και φαίνεται να είναι ένα ακόμη τμήμα περιττού κώδικα που άφησαν πίσω τους οι δημιουργοί του κακόβουλου λογισμικού.
Παρόλα αυτά, η συγκεκριμένη λειτουργία δεν κάνει το κακόβουλο λογισμικό λιγότερο αποδοτικό, και το FrameworkPoS παραμένει μια επικίνδυνη απειλή για τους χρήστες πιστωτικών καρτών που πραγματοποιούν αγορές μέσω του διαδικτύου.
