ShadowPOSはインフォスティーラー型マルウェアです。
しかし、よくあるタイプのインフォスティーラーとは違った動きをします。
どのような動きをするのでしょうか。
- 戦術
メモリをスキャンして求める情報を探し出します。
求める情報は、クレジットカード情報です。
検出したクレジットカード情報は、C2に持ち出します。 - 検出対策
このマルウェアの動作は非常に低く実装されています。
シングルスレッドで動作するような機構となっていて複雑さが少ないですし、他のシステムリソースの面で見ても、大きくリソースを消費することはしません。
システムのリソースの変化を監視することで、このマルウェアの動作を検出することはできそうにありません。 - なんでもスキャン
これまでの多くのインフォスティーラー型マルウェアは、狙った対象ソフトウェアの狙ったファイルを読み取って盗み出すなどの方法をとっていました。
しかし、ShadowPOSは異なります。
ShadowPOSはシステム上のすべてのプロセスに対して高速メモリスキャンを実行します。
スキャン時のカード情報の検出の機構には、GoogleのRE2正規表現エンジンを使用します。
これにより、複雑なスキャンの部分を脅威アクターが自分で実装する必要がなくなるだけでなく、このRE2に含まれている検索動作を固定量のメモリに制約して機能させる機構の入手も同時に果たせてしまいます。
また、動作中のすべてのプロセスのメモリをスキャンしますので、POSの種類やバージョンに依存しない攻撃を可能とします。
攻撃の成功率が上がる作戦となっています。
ShadowPOSは、まだ有名ダークフォーラムで先行販売を発表されたという状態です。
いま買ってくれると他の脅威アクターには売りませんよ、なんていう提案もあるようです。
このマルウェアはWindows環境で動作するPOS製品をターゲットにしています。
しかし、仕組みを考えると、同じようなことはPOSでない機器にも適用できそうに思えます。
どのような対策でこの脅威に対抗していくのが良いのでしょうか。
悩ましい問題です。
New POS Malware “ShadowPOS” Advertised in DarkWeb Forum
https://dailydarkweb.net/new-pos-malware-shadowpos-advertised-in-darkweb-forum/
| この記事をシェア |
|
|---|
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)