Le malware LockPoS qui cible les points de vente utilise une nouvelle technique d'injection

Des chercheurs de Cyberbit ont affirmé que le malware LockPoS connu pour cibler les points de vente utilise actuellement une nouvelle technique d'injection de code pour compromettre les systèmes.

LockPoS est un malware qui permet de voler des données de carte de crédit de la mémoire des ordinateurs attachés aux scanners de carte de crédit sur les points de vente. Le logiciel malveillant a été conçu pour lire la mémoire des processus en cours et collecter les données de carte de crédit qui sont ensuite envoyées à son serveur de commande et de contrôle (C&C).

Le malware utilisait un injecteur qui l'installait directement dans le processus explorer.exe. Après l'exécution, l'injecteur extrait un fichier de ressources et injecte divers composants permettant de charger la charge utile LockPoS finale. L’ancienne technique d'injection employée par LockPoS consiste à créer un objet de la section dans le noyau en utilisant NtCreateSection, en appelant une fonction NtMapViewOfSection pour mapper une vue de cette section dans un autre processus, puis en copiant le code dans la section et en créant d'un processus fils distant via NtCreateThreadEx afin d’exécuter le code mappé.

Le malware utilise maintenant une méthode d'injection qui semble être une nouvelle variante d'une technique précédemment utilisée par le malware du même type surnommé Flokibot. 

Au lieu d'appeler ces procédures, le malware mappe ntdll.dll du disque vers son propre espace d'adressage virtuel, ce qui lui permet de maintenir une copie "propre" du fichier DLL. LockPoS alloue également un tampon pour enregistrer le numéro des appels système, copie le code malveillant dans la section mappée partagée, puis crée un thread distant dans explorer.exe pour exécuter son code malveillant. En utilisant cette méthode "silencieuse" d'injection de logiciels malveillants, il peut éviter d’être détecté par un logiciel anti-malware augmentant ainsi les chances d'une attaque réussie.

Alors que la plupart des produits antivirus de détection EDR et next-gen surveillent déjà les fonctions Windows en mode utilisateur, les fonctions du noyau ne peuvent pas être surveillées dans Windows 10, où l'espace noyau est toujours protégé.