Cherry Picker

Por GoldSparrow em Malware

Traduzir Para:

O Cherry Picker é um sofisticado malware que ataca PoS (Point-of-Sale), que está ativo há pelo menos dez anos. Os especialistas em malware primeiro detectaram essa ameaça desagradável em 2011. Eles dissecaram a Cherry Picker e descobriram que ele foi criado em 2009, o que significa que é provável que essa ameaça estivesse operando ininterruptamente por dois anos. Os criadores do Cherry Picker introduziram várias atualizações ao longo dos anos. A mais recente parece ser em 2015.

O malware faz uso de privilégios no Registro do Windows 'AppInit_DLLs', e o 'LoadAppInit_DLLs' pode fornecer isso a ele. Isso significa que ele pode fazer com que os seus aplicativos iniciem o seu DLL corrompido quando ativado.

O malware do Cherry Picker funciona com um arquivo de configuração cujo caminho é codificado - isso significa que cada amostra do Cherry Picker procurará um nome de arquivo específico, em um diretório específico. Um dos exemplos que os pesquisadores de malware encontraram foi um arquivo de texto não criptografado para as configurações - ele recebeu o nome de 'graph32.dll' e foi colocado na pasta 'system32'. É provável que essa propriedade seja alterada caso a caso para tornar mais difícil rastrear os movimentos e configurações de Cherry Picker. Dentro do arquivo estão o nome de usuário, senha e endereço de IP dos atacantes. Esse malware PoS pode coletar as informações de cartão de crédito, que são armazenadas em arquivos RAR criptografados. Os nomes desses arquivos também são personalizáveis. Além disso, o Cherry Picker também está programado para aguardar um determinado período de tempo antes de começar a coletar dados da memória e, em seguida, redirecioná-los para os servidores do invasor em um determinado momento.

O que é mais notável sobre o Cherry Picker é também de onde seu nome é derivado. É muito provável que esse malware PoS atinja apenas alvos que já tenha estudado previamente. Isso é indicado pelo campo "Processo do Alvo" do Cherry Picker, que mostra que esse malware está procurando por processos específicos no sistema infiltrado, que contêm os dados do cartão de crédito que ele visa. Se o processo específico que procura não for encontrado, o Cherry Picker terminará toda a atividade. Especula-se que, devido ao quão exigente é o Cherry Picker, ele conseguiu evitar a detecção por tanto tempo.

Finalmente, como uma etapa extra para minimizar o risco de detecção, o Cherry Picker usa um arquivo chamado 'Ccv.exe', que exclui todos os rastreamentos da atividade desse malware PoS. Cada variante do Cherry Picker tem um arquivo diferente, que serve a esse propósito. Eles buscam arquivos, caminhos e chaves do Registro, que são deixadas de fora da atividade do Cherry Picker e os limpam. Depois de excluir esses dados, ele completa o espaço deixado com informações sem sentido, como Ffs e 00s, e também apaga isso. Isso é feito para garantir que os especialistas em segurança cibernética não consigam restaurar esse malware PoS e estudá-lo.

Esse malware PoS é muito mais complexo do que a maioria das ameaças dessa categoria. É por isso que essa ameaça está ativa há mais de dez anos e continua causando problemas até hoje. É crucial que as empresas sigam as mais recentes técnicas de segurança cibernética, pois ameaças como a Cherry Picker são implacáveis na sua busca por dinheiro, independentemente do preço.

Buscar

Mudar de região

Cherry Picker

Enviar o Comentário

Tendendo

'YouPorn' Email Scam

Safe Search Eng

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela