ShadowPOSはインフォスティーラー型マルウェアです。
しかし、よくあるタイプのインフォスティーラーとは違った動きをします。
どのような動きをするのでしょうか。
- 戦術
メモリをスキャンして求める情報を探し出します。
求める情報は、クレジットカード情報です。
検出したクレジットカード情報は、C2に持ち出します。 - 検出対策
このマルウェアの動作は非常に低く実装されています。
シングルスレッドで動作するような機構となっていて複雑さが少ないですし、他のシステムリソースの面で見ても、大きくリソースを消費することはしません。
システムのリソースの変化を監視することで、このマルウェアの動作を検出することはできそうにありません。 - なんでもスキャン
これまでの多くのインフォスティーラー型マルウェアは、狙った対象ソフトウェアの狙ったファイルを読み取って盗み出すなどの方法をとっていました。
しかし、ShadowPOSは異なります。
ShadowPOSはシステム上のすべてのプロセスに対して高速メモリスキャンを実行します。
スキャン時のカード情報の検出の機構には、GoogleのRE2正規表現エンジンを使用します。
これにより、複雑なスキャンの部分を脅威アクターが自分で実装する必要がなくなるだけでなく、このRE2に含まれている検索動作を固定量のメモリに制約して機能させる機構の入手も同時に果たせてしまいます。
また、動作中のすべてのプロセスのメモリをスキャンしますので、POSの種類やバージョンに依存しない攻撃を可能とします。
攻撃の成功率が上がる作戦となっています。
ShadowPOSは、まだ有名ダークフォーラムで先行販売を発表されたという状態です。
いま買ってくれると他の脅威アクターには売りませんよ、なんていう提案もあるようです。
このマルウェアはWindows環境で動作するPOS製品をターゲットにしています。
しかし、仕組みを考えると、同じようなことはPOSでない機器にも適用できそうに思えます。
どのような対策でこの脅威に対抗していくのが良いのでしょうか。
悩ましい問題です。
New POS Malware “ShadowPOS” Advertised in DarkWeb Forum
https://dailydarkweb.net/new-pos-malware-shadowpos-advertised-in-darkweb-forum/
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- 企業・組織のサプライチェーンを守る:経済産業省が新たなセキュリティ対策評価制度(格付け)の構築へ
- ※「サプライチェーン強化に向けたセキュリティ対策評価制度」は、2025年1月現在検討中の項目です。詳細は経済産業省より発表される最新の情報をご確認ください。 Bitsightと他...
-
サイバー領域
- GitGuardian レポート 「The state of Secrets Sprawl 2023」公開/日本語翻訳版はテリロジーワークスが作成
- GitHub等から流出した機密情報をリアルタイムで検知するサービス「GitGuardian Public Monitoring」を提供するGitGuardian社より、昨年に引き...