Elia Tufarolo

Kaspersky: individuata variante del malware infetta-POS

Il nuovo trojan-banker, ribattezzato Jimmy, a differenza del precedente NeutrinoPOS classificato a giugno è un trojan modulare con finalità di Web injection e mining di criptovalute

Roma - I ricercatori di Kaspersky Lab hanno recentemente scoperto un trojan di tipo banker, classificandolo con il nome Trojan-Banker.Win32.Jimmy.

Il malware sarebbe un'ennesima versione modificata del noto Neutrino: nello specifico, la variante modificata sarebbe Trojan-Banker.Win32.NeutrinoPOS, classificata sempre da Kaspersky Lab lo scorso giugno.

Mentre l'obiettivo di NeutrinoPOS era quello di infettare i sistemi POS, allo scopo di estrarre dati relativi alle carte di credito direttamente dalle pagine di memoria dei processi, gli sviluppatori di Jimmy hanno rimosso completamente queste funzioni, creando di fatto un trojan modulare, ossia in grado di eseguire una serie di moduli scaricabili da un server di command-and-control.
I moduli di cui gli analisti di Kaspersky sono entrati in possesso hanno finalità di Web injection per i principali browser, analoghe a quelle già presenti in NeutrinoPOS, oppure aggiornamenti al modulo centrale del trojan.
Un modulo in particolare è dedicato al mining della criptovaluta Monero, analogamente al malware Adylkuzz dello scorso giugno.

L'esistenza di questo modulo, e il fatto che nel codice del trojan siano presenti l'identificativo del portafogli e l'indirizzo del pool, consente di ricavare una statistica, temporale e quantitativa, della diffusione del virus, che come si evince dall'immagine, è iniziata ai primi di luglio.

diffusione jimmy

Il fatto che l'ammontare di criptovaluta minato sia di soli XMR 0,31, pari a circa 43 dollari, fa supporre che gli autori del trojan abbiano cambiato portafogli, oppure abbandonato l'idea del mining.

portafogli monero jimmy

Ulteriori differenze tra NeutrinoPOS e Jimmy riguardano il calcolo dei checksum: per il primo, esso veniva utilizzato per stabilire quali chiamate alle API di sistema effettuare; per il secondo, invece, il calcolo dei checksum è stato esteso ad ogni tipo di comparazione di stringhe, in modo da rendere l'analisi del virus più complicata, dovendo computare centinaia di stringhe allo scopo di ricostruire il comportamento del virus stesso.

checksum neutrinopos e jimmy

Infine, ai controlli effettuati da NeutrinoPOS, che riguardano la presenza di antivirus o l'esecuzione in ambienti virtuali o sandboxed, in Jimmy sono presenti ulteriori controlli relativi al nome del proprio file eseguibile, che deve contenere un'estensione di file e non essere un hash MD5, SHA1 o SHA256, e all'identificativo della CPU, che viene comparato con una serie di checksum presenti nel codice per valutarne presumibilmente la tipologia e la conseguente capacità computazionale.

Elia Tufarolo

Fonte Immagini 1, 2, 3, 4
Notizie collegate
37 Commenti alla Notizia Kaspersky: individuata variante del malware infetta-POS
Ordina
  • Ma i pos non usano dei sistemi embedded (compilato specificatamente per il microcontrollore) o ci sono micro versioni di s.o. tipo windows o Linux?
    non+autenticato
  • - Scritto da: Soloperoggi
    > Ma i pos non usano dei sistemi embedded
    > (compilato specificatamente per il
    > microcontrollore) o ci sono micro versioni di
    > s.o. tipo windows o
    > Linux?
    ho paura che tu stia confondendo i POS coi registratori di cassa... non sono la stessa cosa fattene una ragione!
    non+autenticato
  • - Scritto da: Mi chiamo furbond James furbond
    > - Scritto da: Soloperoggi
    > > Ma i pos non usano dei sistemi embedded
    > > (compilato specificatamente per il
    > > microcontrollore) o ci sono micro versioni di
    > > s.o. tipo windows o
    > > Linux?
    > ho paura che tu stia confondendo i POS coi
    > registratori di cassa... non sono la stessa cosa
    > fattene una
    > ragione!

    I pos che usano allora?
    non+autenticato
  • Rotola dal ridere
    - Scritto da: 6120
    > - Scritto da: Mi chiamo furbond James furbond
    > > - Scritto da: Soloperoggi
    > > > Ma i pos non usano dei sistemi embedded
    > > > (compilato specificatamente per il
    > > > microcontrollore) o ci sono micro
    > versioni
    > di
    > > > s.o. tipo windows o
    > > > Linux?
    > > ho paura che tu stia confondendo i POS coi
    > > registratori di cassa... non sono la stessa
    > cosa
    > > fattene una
    > > ragione!
    >
    > I pos che usano allora?
    I pos usano quello che il vendor/gestore del POINT OF SALE decide che usino tipicamente una applicazione specifica e ce ne sono a decine sia per Linux che windoze meno invece (come ovvio) OSX... molte (anzi praticamente tutte) queste applicazioni sono pensate per pilotare/integrarsi con diversi sistemi di cash register e diversi sistemi di pagamento (carte ecc.)
    Che poi sia comune l'errore di chiamare "POS" il registratore di cassa o il lettore di carte per il pagamento non lo rende meno errore.
    Per POS si intende un sistema di gestione e non uno specifico "device".
    tutto qui.
    non+autenticato
  • nr: Mi chiamo furbond James furbond
    Rotola dal ridereRotola dal ridere
    - Scritto da: 6120

    > Che aspetta a passare al POS Linux?
    perchè che problemi avrebbe?
    ah.. si uno di sicuro... che poi dopo non gli funziona più il .w32 trojan
    Rotola dal ridere
    non+autenticato
  • Fate ridere, vi crrdete esperti ma non siete nessuno, capito? Nesduno!
    non+autenticato
  • Cosa? .w32? Cioè siamo oltre la metà del 2017 e qualcuno (poveretto) ha ancora dei Pos windows?
    non+autenticato
  • quanta non-professionale arroganza...
    non+autenticato
  • quanta winara demenza Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • ho sempre avuto l'impressione di essere, in campo informatico, un cazzone incompetente.
    Poi vado su P.I. e lurko...
    e, analizzando gli interventi,con sorpresa constato che mi si prospettano 2 ipotesi:
    1) è vero che sono un cazzone incompetente ma è evidente che lo sono anche quelli che postano su P.I.
    2) quelli che postano su P.I. sono dei "veri esperti" ed allora posso dire, con certezza, che lo sono anche io; ma anche meglio!
    Propendo per l'ipotesi 1), anche se poco tranquillizzante, per quel che mi riguarda.
    non+autenticato
  • È una battuta, vero? No perché sarebbe preoccupante se tu pensassi che l'utente di PI medio sia qualcosa d'altro che un cazzone incompetente.
    non+autenticato
  • Tu saresti un utente medio o medio-basso? Secondo me sei semplicemente un COGLIONE.
    non+autenticato
  • Si ma, se nessuno di voi usa un nikname, non si capisce a chi vi stiate rivolgendo, né chi stia rispondendo a chi. Siete tutti "nr"; non si capisce una mazza.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > rispondendo a chi. Siete tutti "nr"; non si
    > capisce una mazza.
    Disse l'omunculus senza mazza
    non+autenticato
  • - Scritto da: ...
    > È una battuta, vero? No perché sarebbe
    > preoccupante se tu pensassi che l'utente di PI
    > medio sia qualcosa d'altro che un cazzone
    > incompetente.

    E poi avete l'ardire di sottostimare quello che scrive il Fuddaro. Eppure lo ha detto da sempre che su PI, quel qualcuno che capiva qualcosa di informatica, si è eclissato da tempo.

    Siete dei coglioni arroganti.
    non+autenticato
  • Hai starnazzato anche oggi. Puoi andare.
    non+autenticato