窃取POS系统数据的恶意软件FlokiBot介绍

安天追影小组在进行日常安全事件梳理时,关注到一个基于Zeus木马家族相同代码库的新型银行恶意软件变种FlokiBot家族,其最近已经在各种黑客市场上销售, FlokiBot不仅是简单的复制了Zeus家族中存在的功能特征,还具有几个新功能,使其成为一个对攻击者有吸引力的工具,其主要目标是利用鱼叉式钓鱼攻击方式和RIG攻击工具攻击POS系统,窃取POS系统数据。

分析介绍:

FlokiBot恶意软件起源于病毒家族Zeus2.0.8.9源码,而且存在多个变种,同时其支持葡萄牙语、英语、俄语等多种语言,主要目标是窃取POS刷卡机数据。一旦FlokiBot恶意软件被执行,其先会尝试注入“explorer.exe”进程,如果失败,就注入到“svchost.exe”进程。其会根据执行环境,注入不同的资源数据,包括“key”、“bot32”、“bot64”。注入的资源数据使用RC4加密,并使用LZNT1算法压缩,另外,恶意软件使用散列算法来模糊动态库解析中使用的模块和函数名称,目的是为了防止被杀毒软件查杀。若注入成功,可以监控到进程“explorer.exe”或“svchost.exe”在进行一些异常的网络通信行为,其使用的是HTTPS协议与C2进行通信。

在其网络通信行为中,FlokiBot沿用了Zeus家族的一个防深度包检测功能,网络数据包中的字节被封装在通过HTTPS发送的BinStorage结构中并进行多层加密。其首包的内容解密后,是有关受感染机器的信息,如计算机名称和屏幕分辨率,另外,对其网络相关配置进行分析,发现其对localhost的9050端口进行监控,这是一个标准Tor代理服务器监听配置设置方式,猜测其也支持Tor网络。

总结:

随着POS机刷卡消费的广泛使用,对应的POS系统中存储大量用户的信息,关系到用户的切身财产安全,也是攻击者谋取利益的空间。安天追影小组提醒相关使用POS系统的企业、单位和使用POS刷卡的用户,关注POS卡的使用安全。为了对此类威胁做到及时响应、处理,追影小组会在接下来的时期里,长期关注FlokiBot家族的变化及收集并分析该家族,以深入了解此恶意软件变种,以确定FlokiBot的技术能力和特性。

MD5:

5649e7a200df2fb85ad1fb5a723bef22

参考链接:

http://blog.talosintel.com/2016/12/flokibot-collab.html
http://www.tuicool.com/articles/b2uABnU
https://threatpost.com/zeus-variant-floki-bot-targets-pos-data/122310/?utm_source=tuicool&utm_medium=referral
http://toutiao.secjia.com/zeus-variant-floki-bot-targets-banking-industry
http://www.tuicool.com/articles/QzymAvy