FireEye宣稱(chēng)，黑客們搞了一個(gè)新花樣來(lái)釣魚(yú)，他們使用帶有敏感字眼的郵件主題來(lái)吸引人們的眼球：如找工作、空缺職位、實(shí)習(xí)、招聘、簡(jiǎn)歷之類(lèi)云云。這些釣魚(yú)郵件從5月20號(hào)的表白日開(kāi)始，向眾多屌絲的郵箱批量轟炸。在郵件里可能會(huì)附帶一個(gè)CV_XXXX(四位數(shù)字)格式的doc文件，或者M(jìn)y_Resume_xxxx(四位數(shù)字)的doc文件。這類(lèi)文檔乍一看有點(diǎn)像投來(lái)的簡(jiǎn)歷，其實(shí)它只是宏病毒。如果受害者打開(kāi)了該文檔，并啟用了宏。這時(shí)，宏病毒會(huì)自動(dòng)下載執(zhí)行一個(gè)來(lái)自80.242.123.155/exe/dro.exe的惡意exe文件。當(dāng)下，這場(chǎng)釣魚(yú)活動(dòng)還在持續(xù)進(jìn)行，其中附帶下載的惡意軟件也在不斷的更新。

 

　　NitlovePoS的運(yùn)行和免殺

 

　　FireEye的專(zhuān)家稱(chēng)：

 

　　“為了欺騙受害人打開(kāi)文檔，該文檔會(huì)偽裝自己為‘保護(hù)文檔(protected document)’。

 

　　然而我們沒(méi)有被表象所迷惑，而是把關(guān)注重點(diǎn)更多的放在了‘pos.exe’上，也就是NitlovePoS，大家都懷疑它是針對(duì)pos機(jī)的病毒。我們推測(cè)，一旦攻擊者選定了受害人，它就可以遠(yuǎn)程控制受害人機(jī)器下載POS機(jī)病毒。我們?cè)诒O(jiān)測(cè)時(shí)，發(fā)現(xiàn)在眾多的exe下載鏈接中，只有三條鏈接是下載的pos.exe。”

 

　　機(jī)器被感染后，惡意軟件會(huì)把自己添加到注冊(cè)表啟動(dòng)項(xiàng)里。NitlovePoS運(yùn)行時(shí)，需使用“-”加參數(shù)才能正常運(yùn)行，否則它不會(huì)有任何惡意行為。這個(gè)特殊的性能可以幫助它繞過(guò)一些簡(jiǎn)單的安全檢測(cè)，特別是那些針對(duì)自動(dòng)化檢查的安全軟件。

 

　　FireEye表示：

 

　　“如果給NitlovePoS設(shè)置了正確的參數(shù)，NitlovePoS會(huì)在內(nèi)存中解碼，并開(kāi)始尋找支付卡相關(guān)的數(shù)據(jù)。如果沒(méi)有成功，它會(huì)休眠五分鐘，然后繼續(xù)開(kāi)始嘗試。”

 

　　同類(lèi)POS惡意軟件的前景

 

　　NitlovePoS軟件不算特別，自2015年開(kāi)始已經(jīng)出現(xiàn)了大量POS惡意軟件，比如Punkey和FighterPOS。

 

　　FireEye的專(zhuān)家提醒說(shuō)：

 

　　“咱們的讀者需要知道的是，我們已經(jīng)有不少辦法來(lái)保護(hù)POS機(jī)環(huán)境。比如說(shuō)下一代防火墻，它就使用了網(wǎng)絡(luò)隔離技術(shù)。

 

　　下一代防火墻(NGFW)的關(guān)鍵優(yōu)勢(shì)在于，它們提供了網(wǎng)絡(luò)隔離，將應(yīng)用服務(wù)器和數(shù)據(jù)根據(jù)不同的風(fēng)險(xiǎn)點(diǎn)和安全級(jí)別進(jìn)行劃分并做嚴(yán)密的訪(fǎng)問(wèn)控制。”