Código do Malware de Point-of-Sale (POS) TreasureHunter vaza na internet
[ 0x01 ] — Introdução
Recentemente muitos posts na grande rede estão falando sobre o vazamento do código fonte de um malware de POS chamado TreasureHunter. O que isso representa para as empresas que utilizam POS e para as mentes maldosas?
Antes de explicar todo esse processo, vamos entender um pouco sobre o que é o TreasureHunter…
PS .: O Point-of-Sale tratado no post, e que está descrito nos sites de referência ao final do artigo, são os mesmos que ficam ligados ao computador também conhecidos como TEF.
[ 0x02 ] — TreasureHunter
O malware começou a ser observado em 2014 e ficou conhecido por inovar na forma que seu código foi escrito. No geral, malwares de POS não tem capacidades avançadas como encontramos em malwares bancários por exemplo, porém como noticiado em alguns sites.
“A new approach based on windows products IDs for dynamic mutex could allow the creation of new malware running undetected on systems for much more time.”
E o que isso tem de tão diferente? Vejamos… Usando mutex ele impede que outra instância do mesmo malware rode ao mesmo tempo, e o fato de em cada sistema ele pegar um mutex diferente — não pelo fato de usar mutex, mas sim pelo fato do autor ter sido bem esperto — , torna impossível a detecção do mesmo — vide alguns exemplos de postagens no VirusTotal, noticiados pelo SecurityAffairs.
Essas ameaças para POS são capazes de extrair dados de cartões de crédito e débito de processos que estejam rodando em um sistema infectado pelos mesmos, escaneiam todos os processos na máquina procurando por informações do cartão e após encontrar, enviam as mesmas para um servidor de comando e controle (C&C). Uma vez que um atacante tem acesso ao servidor windows e ao terminal do POS, o malware é instalado e persiste no registro do windows para iniciar junto com o sistema.
[ 0x03 ] — Empresas vs Autores de malwares
Com o vazamento do código, muitas outras variantes podem aparecer e começar a acontecer uma chuva de malware para POS. As empresas devem ficar atentas ao cenário atual e reforçar sua segurança contra ameaças do tipo.
Para os autores, é uma oportunidade que surgiu com o vazamento, ninguém ainda conseguiu explicar o motivo de ter vazado esse código, mas uma coisa é certa… Este código não irá ajudar apenas autores, como lembrado pela empresa FlashPoint.
Ainda hoje investigadores tem que fazer engenharia reversa no código para analisar o mesmo. Tendo o código fonte disponível, os analistas podem estudar e criar vacinas e formas de evitar infecções pelo TreasureHunter ou variantes.
Com as palavras do diretor de pesquisa da FlashPoint — Vitali Kremez.
“The source code is consistent with the various samples that have been seen in the wild over the last few years”
[ 0x04 ] — Conclusão
Todos os dias surgem ameaças novas e fazemos uma corrida contra o tempo, cuidar da segurança não é uma tarefa fácil, mas devemos sempre estar atentos a pequenas coisas, pois são nessas coisas, nos detalhes que alguma coisa pode acontecer. Vamos continuar acompanhando essa história e buscar fazer o trabalho mais minucioso possível para evitar fraudes.
Aqui tem uma análise feita em 2017 do TreasureHunter que é bem esclarecedora.
[ 0x05 ] — Fontes
- https://securityaffairs.co/wordpress/72343/malware/treasurehunter-pos-malware-leaked.html
- https://securityaffairs.co/wordpress/34756/malware/malware-dynamic-mutex.html
- https://zeltser.com/malware-vaccination-infection-markers/
- https://threatpost.com/pos-malware-treasurehunter-source-code-leaked/131891/
- https://www.securityweek.com/treasurehunter-pos-malware-source-code-leaked-online
- https://www.bleepingcomputer.com/news/security/oh-joy-source-code-of-treasurehunter-pos-malware-leaks-online/
- https://www.flashpoint-intel.com/blog/treasurehunter-source-code-leaked/
- http://adelmas.com/blog/treasurehunter.php
