LockPos 악성코드 관련 이슈

최근 LockPos라는 이름의 새로운 변종 POS(Point-of-sale)가 발견되었습니다.
PoS시스템에 영향을 미치는 LockPos 멀웨어는 Windows 탐색기를 사용하여 도난당한 카드 데이터를
공격자에게 제공하는데, 오늘은 LockPos 악성코드에 대해 포스팅하겠습니다.

 

 

감염경로로 트로이 목마는 Windows 레지스트리에 다음 키를 추가하며, 재부팅시 지속성을

보장합니다.

 

 

컴퓨터가 손상되면 멀웨어는 자체 실행파일을 %Allusersprofile%\Application Data\folder에

임의의 이름으로 복사한 다음Explorer.exe를 삽입하여 대상 시스템의 정보를 수집합니다.

LockPos는 실행중인 프로세스 목록을 검색합니다.
멀웨어는 신용카드정보를 위해 감염된 시스템에서 현재 프로세스의 메모리를 주기적으로 긁어 냅니다.

 

이 멀웨어는 Pos 소프트웨어에서 신용카드 데이터를 나열합니다.
그리고 해커는 다음과 같은 API 함수를 사용합니다.
• FindResourceW
• CryptDecrypt
• RtlDecompressBuffer

 

악성코드는 모든 사용자 프로필 폴터에 [Random Name].exe와 [Random Name].bin의 두 파일을

생성합니다.
[Random Name].exe파일은 dropper이고 [Random Name].bin 파일에는 암호화된 신용카드 정보가
들어있습니다.

멀웨어는 다음과 같이 자체 C&C서버에 HTTP요청을 보냅니다.

 

 

명령 및 제어(C&C)트래픽

 

LockPos는 HTTP 프로토콜을 통해 C&C통신을 수행합니다.
멀웨어는 다음과 같은 형식으로 자체 C&C서버에 HTTP요청을 보냅니다.

예를 들면 다음과 같습니다.

 

 

현재 LockPos는 브라질계 기업을 대상으로 하고있으며, 악성코드의 기능을 손상시킬 수 있는

중요한 문자열을난독화 시킵니다.

 

오늘은 LockPos 악성코드에 대한 포스팅을 하였습니다.
다음에도 유익한 자료 올릴 수 있도록 하겠습니다.
감사합니다.