Összefoglaló
A Ploscato.C trójai bank- és hitelkártyák elfogadására alkalmas számítógépeket, POS terminálokat ostromol.
Leírás
Elsősorban pénzügyi információkat próbál kifürkészni, majd kiszivárogtatni. Egyes hírek szerint ez a károkozó már bizonyította a veszélyességét, ugyanis az egyik variánsa szerepet kapott a Home Depot elleni, nagyszabású adatbiztonsági incidensben is.
A Ploscato.C alapvetően egy parancssoros eszköz, amelynek elindításával és megfelelő paraméterezésével egy Windows-os szolgáltatás hozható létre. Ez a szolgáltatás a háttérben folyamatosan kémleli azokat a folyamatokat, amelyek bizalmas adatok kezelésében közvetve vagy közvetlenül érintettek lehetnek. Nem kíméli a Windows rendszerfolyamatait, és az Internet Explorer, a Chrome, valamint a Firefox böngészőket sem. A memóriában kotorászva próbál pénzügyi adatokat kigyűjteni, amiket egy hálózati megosztáson keresztül, egy DLL fájlnak álcázva tölt fel egy előre meghatározott szerverre. A trójai a hálózati meghajtó csatlakoztatásáról maga gondoskodik, sőt arról is, hogy ez a meghajtó csak addig legyen látható a fertőzött terminálon, amíg arra szükség van.
1. Létrehozza a következő állományt:
- “%system32sc.exe config LanmanWorkstation depend= mcfmisvc”
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
- HKLMSYSTEMCurrentControlSetServiceslanmanworkstationDependOnService: ‘mcfmisvc’
- H KLMSYSTEMCurrentControlSetServiceslanmanworkstationDependOnGroup: 00
- HKLMSYSTEMCurrentControlSetServicesmcfmisvcType: 0x00000010
- HKLMSYSTEMCurrentControlSetServicesmcfmisvcStart: 0x00000002
- HKLMSYSTEMCurrentControlSetServicesmcfmisvcErrorControl: 0x00000001
- HKLMSYSTEMCurrentControlSetServicesmcfmisvcImagePath: “[…][…].exe -service”
- HKLMSYSTEMCurrentControlSetServicesmcfmisvcDisplayName: “McAfee Framework Management Instrumentation”
- HKLMSYSTEMCurrentControlSetServicesmcfmisvcObjectName: “LocalSystem”
- HKLMSYSTEMCurrentControlSetServicesmcfmisvcDescription: “Provides systems management information to and from McAfee Framework Objects”
3. A hozzá tartozó FrameworkServiceLog.exe parancssori alkalmazás elindításával és megfelelő paraméterezésével létrehoz egy Windows-os szolgáltatást.
4. Bizonyos időközönként ellenőrzi a futó folyamatokat hitel és bankártya adatokat keresve. Kivéve az alábbi folyamatokat:
- Chrome.exe
- Conhost.exe
- Csrss.exe
- Ctfmon.exe
- Explorer.exe
- Firefox.exe
- Lsass.exe
- Mdm.exe
- Regsrvc.exe
- Sched.exe
- Services.exe
- Smss.exe
- Spoolsv.exe
- Svchost.exe
- System
- Taskmgr.exe
- Wininit.exe
- Winlogon.exe
- Wmiprvse.exe
5. Rendszeresen elindít egy t.bat állományt.
6. Felcsatol egy hálózati meghajtót “T” betűjel alatt.
7. Elindítja a következő fájlt:
- t:tempdotnetNDP45-KB2737084-x86.exe
8. Pénzügyi adatokat tölt fel a T: meghajtóra egy McTrayErrorLogging.dll fájl formájában.
9. Leválasztja a T: meghajtót.
Támadás típusa
Unspecified (Nem részletezett)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.microsoft.com
