Trojan.Kasidet

O Trojan.Kasidet é um nome de detecção genérico para um malware PoS (Point of Sale ou ponto de vendas), também conhecido como Trojan Point of Sale, que estava sob vigilância já em 2015 e foi adicionado à maioria dos bancos de dados dos AV em 2016. O Trojan.Kasidet foi difícil de ser classificado, pois ele é uma mistura do código que vimos no Dexter Infostealer e no Neutrino Bot. Alguns analistas de malware também encontraram similaridades com o malware MWZLesson PoS. As ameaças cibernéticas de hoje geralmente são equipadas para lidar com várias tarefas que vão de proliferação da rede e criptografia de dados até espionagem sem arquivo. Portanto, os Trojans podem ter recursos semelhantes aos de um Worm e os Trojans de backdoor podem ser usados para ataques de DDoS (Distributed Denial of Service - Negação de Serviço Distribuída).

OI Trojan.Kasidet é introduzido em estações PoS vulneráveis e se apresenta como um produto legítimo da Microsoft chamado 'Utilitário de linha de comando WMI pela Microsoft'. Em muitos casos, os criadores de ameaça usam arquivos SFX-RAR (Auto-Extracting Archive - Arquivos de Auto-Extração) e engenharia social para atrair os usuários de PC com pouco conhecimento na instalação de malware nos seus dispositivos. O Trojan.Kasidet digitaliza os computadores doas PoS em busca dos seguintes processos:

• prl_cc.exe
• prl_tools.exe
• vboxservice.exe
• vboxtray.exe
• vmsrvc.exe
• vmusrvc.exe
• vmwaretray.exe
• vmwareuser.exe

A ameaça prossegue para procurar os seguintes módulos:

• api_log.dll
• dir_watch.dll
• pstorec.dll
• sbiedll.dll
• vmcheck.dll
• wpespy.dll

O Trojan.Kasidet lê as informações armazenadas na linha magnética do seu cartão de débito/crédito e monitora o dispositivo PoS para a entrada da senha. Assim que você inserir a sua senha e o sistema confirmar um pagamento bem-sucedido, o Trojan.Kasidet envia os dados coletados para os seus operadores. As empresas de AV descobriram que o Trojan.Kasidet pode se comunicar com os servidores de "Comando e Controle" nos seguintes endereços:

enotecacattaneo[.]it (62.149.128.151)
lattone[.]com (62.149.128.160)
mondaynightfundarts[.]com (216.18.70.74)
pationare[.]bit (144.76.133.38)
studiolegalecontrini[.]com (62.149.128.74)
usuellialfonso[.]it (62.149.128.160)
valentigomme[.]com (62.149.128.151)
www[.]enotecacattaneo[.]it (31.11.32.73)
www[.]lattone[.]com (31.11.33.18)
www[.]studiolegalecontrini[.]com (31.11.32.88)
www[.]usuellialfonso[.]it (89.46.105.15)
www[.]valentigomme[.]com (31.11.32.119)

Você pode querer saber que o Trojan.Kasidet pode ser usado para coletar as credenciais dos usuários de clientes da Internet alimentados pelos mecanismos de layout Triton, Gecko e Blink. Isso significa que os logins salvos no Mozilla Firefox, SeaMonkey Opera, Google Chrome, SRWare Iron, Internet Explorer, Avant Browser e Maxthon podem ser obtidos indevidamente. Além disso, o Trojan.Kasidet extrai os logins de clientes de e-mail como o Outlook, Foxmail e Thunderbird e envia as credenciais coletadas para os seguintes endereços de IP:

adika-win-iphone[.]comyr[.]com/god
dlms1[.]ir/php5
cosmeticsurgeryonline[.]in
dev1[.]appsichern[.]de
cosmeticsurgeryonline[.]in/lib

É aconselhável se livrar o malware Trojan.Kasidet com a ajuda de um programa de segurança respeitável. Os usuários de computador avançados e os administradores de rede podem detectar as transmissões de rede do Trojan.Kasidet e removê-lo, com sucesso, rapidamente. As empresas de AV usam os seguintes nomes de detecção em relação aos recursos criados pelo Trojan.Kasidet:

• Gen:Variant.Zusy.241505
• TR/Crypt.ZPACK.sfpmn
• TROJ_GEN.R047C0DFD17
• Trojan ( 0050fdd41 )
• Trojan-FNAX!3541BA797863
• Trojan/Win32.Kasidet.C2000867
• W32/Kryptik.FTDD!tr
• W32/S-6d307b46!Eldorado
• WORM_HPKASIDET.SM1

Índice

1

SpyHunter detecta e remove Trojan.Kasidet