TerraRecon
Nos últimos anos, alguns grupos de atores de ameaças decidiram mudar seu foco de realizar ataques diretamente para fornecer ferramentas de malware aos outros atores de ameaças. Esse modelo de negócio foi apelidado de Malware-as-a-Service (MaaS), e algumas gangues cibercriminosas conseguiram estabelecer uma reputação para elas. Um desses grupos foi descoberto pela equipe de segurança cibernética da QuoIntelligence, que nomeou esse grupo ameaçador Golden Chickens.
A Golden Chickens criou um catálogo expandido de instrumentos sofisticados de malware voltados para grupos de cibercriminosos de nível médio a superior. Cada malware oferecido como serviço é projetado para cumprir uma finalidade específica de acordo com as Táticas, Técnicas e Procedimentos (TTP) do cliente específico. Desde que as operações do Golden Chickens foram descobertas pela primeira vez, o grupo conseguiu expandir sua linha de produtos de malware com várias novas ferramentas - TerraRecon, TerraWiper, TerraTV, TerraStealer, TerraCrypt, VenomLNK e outros.
TerraRecon, como o próprio nome sugere, é um malware criado para realizar tarefas de reconhecimento e fazia parte de ataques altamente direcionados que ocorreram entre 2016 e 2018. Após uma infiltração bem-sucedida no sistema, TerraRecon realiza uma série de verificações para detectar a presença de um gama específica de hardware e software usados no varejo e nos setores de transferência de dinheiro, como Western Union Software and Signing Pads, Wacom Signing Pads e Yubiko's Yubikeys. Três versões diferentes do TerraRecon foram detectadas, com a maior distinção entre elas sendo a introdução de um kill switch na v3 do malware. A natureza altamente específica da ferramenta e vários outros fatores apontam para o fato de que a TerraRecon foi criada para um ator de ameaça específico, provavelmente. O grupo que melhor se ajusta à descrição é FIN6.
Em termos de sua estrutura atual, o TerraRecon compartilha muitas semelhanças com o TerraLoader do Golden Chickens , tal como ofuscação de código e resolução de função em tempo de execução. Para completar sua tarefa de coleta de informações, TerraRecon é capaz de pesquisar dados do sistema, digitalizar certos caminhos de arquivos e alavancar controles Active X. A 3ª versão do malware é escrita em PureBasic, ao contrário das duas versões anteriores, que foram codificadas em VisualBasic e tem uma função kill-switch que pesquisa o ano no sistema infectado e se não for 2018, ele interrompe sua execução. Mais do que provável, a Golden Chickens recorreu a esse método como garantia de que seus clientes não poderão usar suas ferramentas de malware indefinidamente. Após completar sua tarefa, TerraRecon se apaga através de um arquivo BAT.
