ShellTea

ShellTea é uma ameaça de malware que ataca os Pontos de Venda ou PoS. Ameaças como a ShellTea são projetadas para coletar dinheiro de suas vítimas, infiltrando dispositivos de Ponto de Venda, como leitores de cartão de crédito ou caixas registradoras. O ShellTea é projetado para obter acesso não autorizado ao dispositivo da vítima e coletar informações do cartão de crédito. Os alvos preferidos da ShellTea parecem ser hotéis atualmente, particularmente hotéis de alto padrão que podem ter clientes com cartões de crédito atraentes e contas bancárias. A ShellTea está sendo operada pelo FIN8, um grupo criminoso que tem sido responsável por várias campanhas desse tipo. Os ataques FIN8 foram observados pela primeira vez em 2017. Depois, eles também usaram o ShellTea, bem como outros malwares, como o Trojan backdoor PunchBuggy. Como nos ataques mais recentes, os ataques do FIN8 em 2017 envolvendo a ShellTea também tiveram como alvo vítimas do setor de hospitalidade.

O FIN8 Ressurgiu com os Ataques do ShellTea Após um Período de Inatividade

Por um tempo, parecia que o FIN8 foi dissolvido. Isso ocorre porque nenhum ataque envolvendo o FIN8 foi detectado desde 2017. No entanto, os pesquisadores de segurança do PC receberam relatórios de uma campanha que voltou a segmentar hotéis e usou o ShellTea nos ataques recentemente. Para entregar o ShellTea às suas vítimas, o FIN8 usou mensagens de e-mail de spear phishing com anexos projetados para fornecer uma variante do ShellTea. Os principais ataques foram interceptados antes que um grande dano fosse feito. No entanto, a sofisticação do ShellTea e o ataque levaram os pesquisadores de segurança do PC a acreditar que é provável que esta não tenha sido uma tentativa única e que mais tentativas de ataque serão realizadas com o FIN8, usando o malware ShellTea.

Como o Malware do ShellTea Funciona

O Trojan ShellTea é bastante sofisticado e inclui recursos que permitem detectar ambientes de simulação (usados por pesquisadores de segurança do PC para estudar essas ameaças), recursos de ofuscação que dificultam a detecção e a compreensão e a capacidade de persistência no dispositivo, permite que o ShellTea permaneça ativo mesmo quando o dispositivo infectado é reinicializado. Se o ShellTea obtiver acesso a um dispositivo, ele permitirá que os criminosos executem os comandos do PowerShell no dispositivo. Isso permite que os criminosos entreguem arquivos adicionais ao dispositivo infectado e controlem os processos e arquivos de memória que estão sendo executados no dispositivo infectado. Eles frequentemente tentam distribuir ShellTea e outros malwares através da rede do dispositivo infectado para outros computadores em contato com ele horizontalmente, aterrissando em dispositivos usados para processar informações de cartão de crédito eventualmente. O ShellTea é executado silenciosamente, trabalhando em segundo plano para coletar informações sem alertar a vítima de suas atividades.

Conclusões sobre os Ataques do ShellTea e os Possíveis Passos Futuros

O FIN8 e outros APTs que usam ataques de PoS continuarão a realizar ataques contra o setor de hospitalidade. Uma vulnerabilidade contra esses ataques é que muitas redes de dispositivos PoS estão executando o Windows 7, com suas diversas vulnerabilidades. Além disso, como esses dispositivos precisam estar disponíveis e disponíveis constantemente, sua segurança é geralmente muito rudimentar e eles não incluem softwares antimalware. Por causa disso, limitar a exposição desses dispositivos é especialmente crucial. Existem várias etapas que as empresas que usam esses dispositivos podem adotar para proteger seus clientes de que suas informações bancárias e de cartão de crédito sejam comprometidas:

• Instale um software de segurança forte, incluindo firewalls e softwares antimalware que possam ser usados para impedir qualquer tentativa de infiltração.
• Instrua todos os funcionários a lidar com segurança com mensagens de e-mail suspeitas para evitar campanhas de phishing que são usadas para fornecer ameaças como o ShellTea.
• Monitore todos os dispositivos e redes PoS para possíveis vulnerabilidades e intrusões constantemente.