出門刷卡要小心！一種可以從POS機終端收集信用卡資訊的惡意軟體出現了

在本文中，專家們會分析一種非常特殊的Neutrino變異體，一種可以從POS機終端收集信用卡資訊的變體。

卡巴斯基實驗室其檢測為Trojan-Banker.Win32.NeutrinoPOS

描述檔案的MD5：0CF70BCCFFD1D2B2C9D000DE496D34A1

攻擊前的準備階段

該變體在開始之前會經過一段長時間的“睡眠”隱蔽狀態，因為這樣能繞過許多安全產品的沙箱檢測。為了確定延遲時間，該變體會使用偽隨機數生成器（pseudorandom number generator）。

C＆C通訊

在這個階段，該變體會從其後臺中提取了C＆C地址列表。該列表是Base64編碼，解碼後，該變體會嘗試使用以下演算法找到一個工作的C＆C：

1.將POST請求傳送到伺服器，通過其base64字串“enter”（ZW50ZXI =）中的自身編碼。所有編碼的字串都包含字首“_wv =”

2.工作伺服器響應404頁面，其中包含最後編碼字串c3VjY2Vzcw ==（success）。在“成功”的情況下，rTojan會將已使用的伺服器的地址標記為正常工作狀態。

你還應該注意到，在每個POST請求的標題中都有“auth”欄位，對於NeutrinoPOS的每個樣本，它們保持不變。

恢復C＆C伺服器檢查的程式碼

儲存在登錄檔處的C＆C地址HKCR  Sofrware  alFSVWJB與NeutrinoPOS樣本使用的其他變數和資料相同。變體名稱與這裡描述的不同，但是在兩個樣本完全比較之後，專家可以判定兩個樣品都是對Neutrino的修改。

C＆C命令

以上描述的變體功能如下：

1.下載並啟動檔案；
2. 螢幕截圖；
3.按名稱搜尋執行過程；
4.變更暫存器下分支的指令;
5.在感染的主機上按名稱搜尋檔案，並將其傳送到C＆C;
6.代理

伺服器以簡單的方式傳送命令，如“PROXY”，“screenshot”等，以base64編碼。經過分析，在當前版本的Neutrino中，沒有DDoS攻擊的功能。

命令控制和計算的補充

幾個命令的例子（在上面的截圖上用紅色標記）：

Rolxor（“PROXY”）= 0xA53EC5C
Rolxor（“screenshot”）= 0xD9FA0E3

NeutrinoPOS命令處理程式

竊取信用卡

竊取信用卡資訊的演算法在木馬中實現很簡單，具體描述如下：

1.木馬開始使用當前執行的程式，使用CreateToolhelp32Snapshot  Process32FirstW  Process32NextW。

2.使用OpenProcess  VirtualQuery  ReadProcessMemory，該木馬獲取有關程式的記憶體頁面的資訊。

3.木馬掃描記憶體頁面的字串“Track1”，它標記磁卡的第一個磁軌的欄位。所有描述的領域一個接一個：

3.1 “0”到“9”範圍內的符號序列，長度等於15,16或19.使用Luhn演算法進行序列檢查。

3.2 在下一個和前一個欄位中檢查分離符號`^`的存在。

3.3 提取持卡人名稱，最大長度，基於ISO / IEC 7813，等於26符號：

3.3 休息資料（Rest data）（CVC32，有效期，CVV）作為整個程式碼塊被提取，並檢查長度和內容：

4.收集的資料傳送到具有標記“Track1”的伺服器。

5.這時，木馬就開始提取帶有標記“Track2”的下一個欄位：

5.1首先，它提取PAN與前一個階段相同的檢查。

5.2 作為使用“`”或“D”的分離符號

5.3 Track2不包含持卡人名稱，因為休息資料作為整個程式碼塊被提取

6.收集的資料傳送到伺服器，標有“Track2”

對POS機終端的感染統計

最大的感染區域是俄羅斯和哈薩克，其中受感染的電腦中近10％屬於小企業客戶。

總結

從描述的Neutrino的變異版本可以看出，儘管Neutrino屬於一個已經古老的惡意軟體家族，但它仍然以非典型功能或應用的形式出現在黑客的手中。例如，我們可以看到它使用了與 Mirai技術分叉(fork)相同的技術。

一般來說，所有具有良好架構和各種功能的惡意軟體原始碼一旦被公佈，就將引起惡意軟體開發者的極大興趣和關注，他們將嘗試將其用於幾乎所有可能的非法獲利方式。我們可以假設，現在可能已經有人利用Neutrino來進行加密貨幣的挖掘，只是我們還尚未發現具體案例而已。

MD5

CECBED938B10A6EEEA21EAF390C149C1

66DFBA01AE6E3AFE914F649E908E9457

4DB70AE71452647E87380786E065F31E

9D70C5CDEDA945CE0F21E76363FE13C5

B682DA77708EE148B914AAEC6F5868E1

5AA0ADBD3D2B98700B51FAFA6DBB43FD

A03BA88F5D70092BE64C8787E7BC47DE

D18ACF99F965D6955E2236645B32C491

3B6211E898B753805581BB41FB483C48

7D28D392BED02F17094929F8EE84234A

C2814C3A0ACB1D87321F9ECFCC54E18C

74404316D9BAB5FF2D3E87CA97DB5F0C

7C6FF28E0C882286FBBC40F27B6AD248

729C89CB125DF6B13FA2666296D11B5A

855D3324F26BE1E3E3F791C29FB06085

2344098C7FA4F859BE1426CE2AD7AE8E

C330C636DE75832B4EC78068BCF0B126

CCBDB9F4561F9565F049E43BEF3E422F

53C557A8BAC43F47F0DEE30FFFE88673

C&C

hxxp://pranavida.cl/director/tasks.php

hxxps://5.101.4.41/panel/tasks.php

hxxps://5.101.4.41/updatepanel/tasks.php

hxxp://jkentnew.5gbfree.com/p/tasks.php

hxxp://124.217.247.72/tasks.php

hxxp://combee84.com/js/css/tasks.php

hxxp://nut29.xsayeszhaifa.bit/newfiz29/logout.php

hxxp://nut29.nsbacknutdoms11war.com/newfiz29/logout.php

hxxp://jbbrother.com/jbb/meaca/obc/pn/tasks.php

hxxp://ns1.posnxqmp.ru/PANEL/tasks.php

hxxp://nut25.nsbacknutdoms11war.com/newfiz25/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php

hxxp://propertiesofseyshellseden.com/newfiz21/logout.php

hxxp://n31.propertiesofseyshellseden.com/newfiz31/logout.php