新闻链接：http://www.seehand.com/news/853.html
新闻时间：2015-07-28
新闻正文：
Trend Micro公司专家警告网络公司说，一个新型POS恶意软件在僵尸Andromeda的帮助下正在传播。这个恶意软件的最后一个发起人使用的是垃圾邮件传播方式；攻击者下载附加工具安装僵尸，以进行远程遥控，并在目标网络中其他Windows设备上安装GamaPoS。

2011年被发现的后门程序Andromeda（位列“卡巴斯基实验室” Backdoor.Win32.Androm），经常被用于加载其他恶意软件，比如ZeuS 和 Rovnix。在这种情况下，它通过垃圾邮件传播，包含链接指向恶意网站或附带包含恶意代码的附件。据Trend Micro表示，这样的“投资”通常伪装成推荐安装新的PCI DSS (Payment Card Security Standard，信用卡支付安全标准)或更新Oracle当天推出的零售平台MICROS的通知。

安装在被感染的设备上之后，攻击者使用Andromeda加载一对Mimikatz 和 PsExec。后者是一个合法工具，通常用于远程监控和识别，因此经常被列入白名单中。PsExec的功能便利性为攻击者所欣赏和利用，当然还有它的“白”身份：据研究人员透露，例如，PsExec被攻击者用于组织目标进程和转移文件。Mimikatz也被广泛知晓和利用于一种改良形态，攻击者可用其盗取Windows基础设备的登陆数据。利用PsExec 和Mimikatz作为传输工具，GamaPoS使得攻击者在目标网络中畅通无阻。

看起来，Andromeda加载的新型POS恶意软件并不是针对于新型僵尸网络中的全部电脑终端。根据Trend Micro表示，截至目前，它们仅仅获知3.8%设备受到感染；GamaPoS本身很寻常，而创造和使用了.NET框架这个事实使它变得与众不同了。研究人员认为，病毒编写者不仅善于编写这样的程序，而且做出了打开微软.NET Core源代码的决定。

当你运行搜索GamaPoS活动站点管理时，会受到制定URL名单指引，并建立HTTPS连接。这个地址随即会被用于发送窃取的Track 2银行卡Visa，Discover，Maestro及其他类型卡的数据，并将过滤掉猎物中的第一个数字序列。

分析表明，85%的GamaPoS攻击分布在美国13个州境内。目前的攻击活动使用的是统一IP地址下的9个域。

研究人员同时也指出了这个新型恶意软件与NitlovePOS的一些相似之处：都是通过包含恶意链接的垃圾软件传播，虽然POS恶意软件嵌入网络是在受到远程数据访问或窃取了适当的被盗数据之后。另外，两个公祭活动都是以同样的IP地址模块开始的。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课