AbaddonPOS
Nos últimos anos, os cibercriminosos têm se tornado cada vez mais inventivos e têm expandindo suas operações. Essas pessoas suspeitas têm se interessado mais recentemente por dispositivos PoS (Point-of-Sale). Acreditava-se que os dispositivos PoS eram muito seguros, mas os cibercriminosos criaram algumas técnicas inteligentes para penetrar nessas máquinas. Os ataques a dispositivos PoS não afetam os negócios normalmente, mas, em vez disso, sugam dinheiro de seus clientes. Escusado será dizer que, quando as informações sobre um ataque desse tipo saem, a reputação do negócio pode ser gravemente prejudicada.
O AbaddonPOS é uma família de malware, destinada a empresas nos Estados Unidos. Acredita-se que essa ameaça tenha origem no grupo de hackers TA530. Não se sabe de onde são os hackers, mas eles parecem atacar empresas que lidam com varejo e hospitalidade em países que falam inglês, como os Estados Unidos, o Reino Unido e a Austrália, principalmente.
O TA530 emprega métodos diferentes para espalhar o AbaddonPOS, alguns dos quais serão kits de exploração, downloaders de Trojans e e-mails contendo anexos corrompidos. Quando o AbaddonPOS se infiltra em um sistema, ele escaneia os processos em execução com foco naqueles que estão lidando com o software do dispositivo PoS. Para economizar tempo, AbaddonPOS é programado para buscar sequências numéricas, que provavelmente só contêm informações de cartão de crédito - seqüências de números começando com 3, 4, 5 ou 6 e seqüências de números maiores que (ou iguais a) 13 e menores que (ou igual a) 19. Então, os números escolhidos por AbaddonPOS serão executados através do algoritmo de Luhn, o que significa confirmar a validade dos dados. Então, quando confirmados, os dados são criptografados usando um algoritmo de criptografia XOR e enviados para os servidores do TA530, que é codificado no arquivo executável AbaddonPOS que os pesquisadores analisaram.
Para tornar o AbaddonPOS mais difícil de detectar e analisar, os invasores aplicaram verificações para garantir que o malware não está sendo executado em um ambiente controlado, bem como algum código ofuscado que visa tornar as vidas dos pesquisadores de malware um pouco mais difíceis. No entanto, seus esforços foram em vão, pois o AbaddonPOS foi completamente estudado e os aplicativos anti-malware podem detectá-lo e removê-lo sem muita dificuldade.
