TreasureHunter
O TreasureHunter pertence a uma família de malware PoS (Point of Sale ou Ponto de Venda, traduzido para o português). Essas ameaças são projetadas para extrair informações de cartão de crédito no ponto em que os cartões de crédito são processados (o ponto de venda) e, em seguida, retransmitem essas informações para um servidor de Comando e Controle. Essencialmente, os criminosos podem usar ameaças como TreasureHunter para coletar informações de cartão de crédito dos compradores quando eles estão utilizando o seu cartão de crédito para fazer uma compra.
Índice
Alguns Antecedentes Relacionados aos Malwares PoS como o TreasureHunter
Em outubro de 2015, os governantes do PCI DSS mudaram, o que tornaria os varejistas vulneráveis se eles não tivessem migrado para mecanismos de leitura de cartões mais seguros. No entanto, hoje ainda existem muitos varejistas que ainda usam o método de furto de cartão mais antigo, em vez dos chips mais modernos. Houve um aumento significativo de malware PoS aparecendo em 2015 e nos anos seguintes, à medida que os criminosos tentam capturar o maior número possível de varejistas antes de concluir essa transição da tecnologia mais antiga para a mais nova. Desde 2015, surgiram vários malwares PoS, alguns disponíveis gratuitamente, alguns disponíveis para compra e outros criados por grupos criminosos com mais recursos. O TreasureHunter pertence a esse terceiro grupo e parece ter sido feito sob medida para um determinado grupo criminoso.
Como o TreasureHunter Realiza o Seu Ataque
O TreasureHunter monitora os processos em execução em um computador infectado, coleta os dados do cartão de crédito da memória do computador infectado e transmite essas informações ao seu servidor de Comando e Controle. A partir daí, os criminosos podem pegar essas informações de cartão de crédito e usá-las para realizar várias outras táticas. Na maioria dos casos, os criminosos pegarão essas informações de cartão de crédito e débito desviadas e as venderão em massa a terceiros. Existem muitas maneiras de instalar o TreasureHunter, mas a mais comum é aproveitar a proteção de senha, permitindo que os criminosos tenham acesso ao sistema de ponto de venda desejado. Depois que o TreasureHunter é instalado, ele faz alterações nas configurações do computador infectado, o que permite que o TreasureHunter mantenha persistência e seja executado indefinidamente no dispositivo infectado, mesmo quando é desligado e reiniciado. O TreasureHunter estabelecerá uma conexão com o seu servidor de Comando e Controle via HTTP. O TreasureHunter é executado continuamente e retransmite as informações coletadas do cartão de crédito para o servidor de Comando e Controle sempre que detecta uma transação com cartão de crédito no computador infectado.
Por Que o Malware do TreasureHunter é uma Ameaça?
As primeiras amostras do TreasureHunter foram observadas em 2015, quase imediatamente após essas mudanças de regras mencionadas acima. Essas amostras, que começaram a aparecer em novembro de 2015 e março de 2016, eram praticamente idênticas e podem ser chamadas de TreasureHunter 0.1.1, em parte devido à presença da seguinte string no código do TreasureHunter:
TreasureHunter versão 0.1.1 Alpha, criado por Jolly Roger
(jollyroger@prv.name) para o BearsInc. Greets to Xylitol and co.
É provável que as primeiras versões do TreasureHunter tenham sido desenvolvidas em outubro de 2014. Essa ameaça foi estudada ao longo de 2015 e 2016 posteriormente pelos pesquisadores de segurança do PC. O conteúdo do código do TreasureHunter referente ao 'Jolly Roger' pode conectar o TreasureHunter a outro malware, um coletor de informações lançado em 2013 em particular. A referência ao 'Xylitol' neste código refere-se a um conhecido pesquisador de segurança do PC que descobriu várias táticas de malware e que deve provocar provavelmente os pesquisadores de malware.
O Que está Guardado para Ameaças como o TreasureHunter
Devido à transição da tecnologia PIN para o chip EMV nos Estados Unidos, é provável que no futuro as ameaças como o TreasureHunter não funcionem mais. Os criminosos precisarão descobrir novas maneiras de realizar esses ataques, já que os dispositivos de ponto de venda serão mais seguros (e já são) significativamente. Como os grandes varejistas são os mais propensos a ter completado essa transição, os alvos pretendidos pelas táticas como o TreasureHunter são empresas menores, que são menos propensas a terem completado essa transição tecnológica.
