安全记者布莱恩·克雷布斯昨天透露了有关恶意软件样本的细节目标网络攻击原定于2013年11月27日至12月15日举行。
周日,塔吉特首席执行官兼总裁格雷格·斯坦因菲尔就塔吉特最近的安全漏洞接受了CNBC的采访。在那次采访中,他提到了一个恶意软件感染,但没有确定具体的样本。
据克雷布斯说,一份关于入侵期间使用的恶意软件的报告被上传到了ThreatExpert,由Symantec运行的自动分析系统。
该报告已经被删除,但克雷布斯设法保存了一个副本的缓存报告(发现这里在他的网站上)。之后,一位“接近调查的消息人士”将该报告与一个被赛门铁克认定为Infostealer.Reedum的恶意软件家族联系在一起。
Reedum是一种POS ram刮板恶意软件,它可以扫描进程中的内存并“刮掉”任何有用的东西。对于POS恶意软件,这通常是Track 2信用卡信息,可以使用特殊设备创建一个伪造的副本。
我设法获得了一份Reedum恶意软件的拷贝,第一个样本于2012年7月上传到Virustotal。
当它被执行时,它在做什么很简单;下面是显示进程扫描的对话框:
2012年3月,法国安全研究员木糖醇分析了来自受感染POS系统的旧版本Reedum。该示例似乎不那么健壮,但仍然包含相同的功能。你可以在他的博客上看到这里.
塔吉特公司没有透露入侵是如何发生的,但据信是一个网络服务器被入侵,然后建立了一个控制服务器。
克雷布斯目前正在调查该恶意软件的作者,该恶意软件在地下犯罪论坛被称为“BlackPOS”。欲了解更多信息,请查看他的完整博客这里.
_________________________________________________________________
约书亚加拿他尔是Malwarebytes的恶意软件情报分析师,他对当前的恶意软件威胁进行必威平台APP研究和深入分析。在推特上关注他@joshcannell
评论