Ploscato.C trójai

CH azonosító

CH-11694

Angol cím

Ploscato.C trojan

Felfedezés dátuma

2014.10.06.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Ploscato.C trójai bank- és hitelkártyák elfogadására alkalmas számítógépeket, POS terminálokat ostromol.

Leírás

Elsősorban pénzügyi információkat próbál kifürkészni, majd kiszivárogtatni. Egyes hírek szerint ez a károkozó már bizonyította a veszélyességét, ugyanis az egyik variánsa szerepet kapott a Home Depot elleni, nagyszabású adatbiztonsági incidensben is.

A Ploscato.C alapvetően egy parancssoros eszköz, amelynek elindításával és megfelelő paraméterezésével egy Windows-os szolgáltatás hozható létre. Ez a szolgáltatás a háttérben folyamatosan kémleli azokat a folyamatokat, amelyek bizalmas adatok kezelésében közvetve vagy közvetlenül érintettek lehetnek. Nem kíméli a Windows rendszerfolyamatait, és az Internet Explorer, a Chrome, valamint a Firefox böngészőket sem. A memóriában kotorászva próbál pénzügyi adatokat kigyűjteni, amiket egy hálózati megosztáson keresztül, egy DLL fájlnak álcázva tölt fel egy előre meghatározott szerverre. A trójai a hálózati meghajtó csatlakoztatásáról maga gondoskodik, sőt arról is, hogy ez a meghajtó csak addig legyen látható a fertőzött terminálon, amíg arra szükség van.

1. Létrehozza a következő állományt:

  • “%system32sc.exe config LanmanWorkstation depend= mcfmisvc”

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:

  • HKLMSYSTEMCurrentControlSetServiceslanmanworkstationDependOnService: ‘mcfmisvc’
  • H KLMSYSTEMCurrentControlSetServiceslanmanworkstationDependOnGroup: 00
  • HKLMSYSTEMCurrentControlSetServicesmcfmisvcType: 0x00000010
  • HKLMSYSTEMCurrentControlSetServicesmcfmisvcStart: 0x00000002
  • HKLMSYSTEMCurrentControlSetServicesmcfmisvcErrorControl: 0x00000001
  • HKLMSYSTEMCurrentControlSetServicesmcfmisvcImagePath: “[…][…].exe -service”
  • HKLMSYSTEMCurrentControlSetServicesmcfmisvcDisplayName: “McAfee Framework Management Instrumentation”
  • HKLMSYSTEMCurrentControlSetServicesmcfmisvcObjectName: “LocalSystem”
  • HKLMSYSTEMCurrentControlSetServicesmcfmisvcDescription: “Provides systems management information to and from McAfee Framework Objects”

3. A hozzá tartozó FrameworkServiceLog.exe parancssori alkalmazás elindításával és megfelelő paraméterezésével létrehoz egy Windows-os szolgáltatást.

4. Bizonyos időközönként ellenőrzi a futó folyamatokat hitel és bankártya adatokat keresve. Kivéve az alábbi folyamatokat:

  • Chrome.exe
  • Conhost.exe
  • Csrss.exe
  • Ctfmon.exe
  • Explorer.exe
  • Firefox.exe
  • Lsass.exe
  • Mdm.exe
  • Regsrvc.exe
  • Sched.exe
  • Services.exe
  • Smss.exe
  • Spoolsv.exe
  • Svchost.exe
  • System
  • Taskmgr.exe
  • Wininit.exe
  • Winlogon.exe
  • Wmiprvse.exe

5. Rendszeresen elindít egy t.bat állományt.

6. Felcsatol egy hálózati meghajtót “T” betűjel alatt.

7. Elindítja a következő fájlt:

  • t:tempdotnetNDP45-KB2737084-x86.exe

8. Pénzügyi adatokat tölt fel a T: meghajtóra egy McTrayErrorLogging.dll fájl formájában.

9. Leválasztja a T: meghajtót. 

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.microsoft.com


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »