外媒 1 月 10 日消息, 以色列 *** 安全公司 Cyberbit 发现 PoS 端恶意软件 LockPoS 利用新型代码注入技术窃取信用卡数据。据研究人员介绍, 一旦系统受到感染 , LockPoS 将试图获得访问权限以读取当前使用进程的内存,从而开始搜集信用卡数据并将其发送到命令和控制服务器中。
Cyberbit 的研究人员观察到 LockPoS 使用的新技术与僵尸 *** Flokibot 之前使用的注入技术在源码上多有相似之处。但值得注意的是,LockPoS 使用了不同的技术和例程来解压缩和解密,以便于调用与 Flokibot 相关的 API 。
据悉,LockPoS 使用了三个主要的例程(routines),用于将代码注入到远程进程中:NtCreateSection,NtMapViewOfSection 和 NtCreateThreadEx。而这三个例程均从 ntdll.dll 中导出。研究人员表示, LockPoS 利用的新技术涉及使用 NtCreateSection 在内核中创建一个节对象 ,然后调用 NtMapViewOfSection 将该节的视图映射至另一个进程,之后再将代码复制到该节中并创建一个远程线程来执行映射的代码。但研究人员称 LockPoS 并不会直接从 ntdll 调用例程来注入代码,而是将磁盘上的 ntdll 例程映射到虚拟地址空间。 这样一来,LockPoS 会保留一个干净的 dll 副本,并且可以避免反病毒检测。
目前来说,由于 Windows 10 内核功能无法被监控,改进内存分析可能是唯一有效的检测 *** 。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
在西方云计算供应商撤出俄罗斯后,俄罗斯面临严峻的IT存储危机,在数据存储耗尽之前,俄罗斯只剩下两个月的时间。这些解决方案是在数字转型部举行的一次会议上提出的,出席会议的有Sberbank、MTS、Oxygen、Rostelecom、Atom-Data、Croc和Yandex的代表。 据俄罗斯新闻媒...
近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。 资料显示,uClibc库专门为...
微软最近对Windows Defender的排除权限进行了更新,没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷,以绕过防御者的扫描。 然而,这可能无法阻止ZeroFox最近发现的一个名为Kraken的新僵尸网络。这...
欧盟准备在周五公布一项具有里程碑意义的法律,该法律将迫使大型科技公司更积极地监管其平台的非法内容,这是监管机构遏制大型科技集团权力的最新举措。 据四位知情人士透露,《数字服务法》(DSA)将禁止根据用户的宗教信仰、性别或性取向对用户进行分类和内容定位。DSA是一个立法方案,首次为大型科技公司如何保证...
据称,一个黑客组织泄露了微软37GB的源代码,这些代码与包括Bing和Cortana在内的数百个项目有关,这是一系列重大网络安全事件中的最新一起。Lapsus$黑客组织在周一晚上公开发布了一个9GB的压缩文件。据称,该7zip档案包含了从微软获得的250多个内部项目。 据称这些数据来自微软的Az...
网络安全公司F-Secure正在对其企业安全业务进行品牌重塑,新名称为WithSecure,并设计了时髦的新标志。WithSecure以前被称为F-Secure Business,它将专注于企业安全产品和解决方案,而消费者安全产品和服务仍以现有的F-Secure名称提供。 据路透社报道,被全球数千家...