Sécurité : des terminaux Points de Vente de plus en plus attaqués

Installation dans la RAM et analyse du système environnant

D’après Trend Micro, ce Trojan reprend la caractéristique la plus « dangereuse » fournie par Anger, à savoir s’installer « sans fichier ». Comprendre qu’il n’utilise pas les disques durs mais la rame pour s’implanter et appeler si besoin d’autres éléments malicieux.

Dans ce cas précis, TROJ_RECOLOAD.A effectue en plus une analyse de son environnement avant de se déployer. Le Trojan scanne les fichiers et les caches à la recherche d’indices qui confirment qu’il est bien sur un terminal point de vente : des noms de prestataires du secteur (fournisseur de solutions de paiement sécurisé, etc.) par exemple.

Pour se protéger des systèmes de sécurité, RECOLOAD cherche également à savoir s’il se trouve dans un bac à sable (sandbox), dans une VM, ou si un antivirus est installé (et si ses processus sont en cours d’exécution). Si une des conditions est remplie, le cheval de Troie reste inactif.

Dans le cas contraire, le malware détermine quel payload conviendra le mieux au système attaqué et fait un choix parmi trois options.

Des PoS reliés à Internet, nouvelles cibles de choix pour les cybercriminels

Cette attaque ne semble néanmoins concerner que les terminaux sous Windows reliés d’une manière directe (des terminaux « client de navigation » relié à un site) ou indirecte (des terminaux reliés à un intranet) au Web.

D’une parce que les trois payloads possibles sont appelés via des URLs. D’autre part parce que TROJ_RECOLOAD cherche également la présence de navigateurs webs.

Et enfin parce que « ses portes d’entrée » sont deux vulnérabilités identifiées de Flash et que Anger est très utilisé dans les « malwertisements » (publicités malicieuses affichées sur des sites compromis).

« Vu que RECOLOAD cible potentiellement les terminaux connectés, nous encourageons fortement les administrateurs à filtrer les contenus accessibles sur le Web depuis ces appareils […] leurs navigateurs installés pouvant servir à visiter des sites sans lien avec l’activité professionnelle initiale, ils convient de s’assurer que le terminal ne peut se connecter qu’à des sites dont il a besoin pour son bon fonctionnement. Mettre en place une liste blanche des URLs autorisées peut grandement aider à bloquer les entrées dans le système et contenir les exfiltrations », recommande Anthony Joe Melgarejo, Threat Response Engineer chez Trend Micro.

Plus largement, ce malware – et le fait d’avoir utilisé un kit comme Anger pour le créer - est un signe important pour le spécialiste en sécurité. Il intervient en effet après une autre découverte récente d’une attaque, baptisée GamaPoS, qui s’appuie sur le botnet Andromeda pour infecter les PoS aux Etats-Unis.

« Cela suggère que les attaquants sont en train de chercher un moyen de déployer à beaucoup plus grande échelles des malwares sur les points de ventes », conclue Anthony Joe Melgarejo.