Malware PDV FighterPOS ganha rotina de worm

Em abril de 2015, falamos sobre o FighterPOS, um malware de Ponto de Venda (PDV), que foi usado em uma operação criminosa de um só homem para roubar mais de 22.000 números de cartão de crédito exclusivos e afetou mais de 100 terminais PDV no Brasil e em outros países. Recentemente nos deparamos com versões novas e aparentemente aprimoradas desse malware. Entre outras coisas, o FighterPOS agora tem capacidade de propagação. Isso significa que agora ele pode se propagar de um terminal PDV para outro que esteja conectado à mesma rede e assim amentar o número de potenciais vítimas em uma empresa.

Também é interessante notar que, com base na análise de seus códigos, as novas variantes do FighterPOS têm sequências de código escrito em inglês em vez de português. Isso nos faz especular que quem está por trás dessas novas versões está operando em países de língua inglesa e está se adaptando para visar países como o Estados Unidos. Os dados coletados pela Trend Micro Smart Protection Network suporta essas descobertas: apesar de mais de 90% das tentativas de conexão aos servidores de comando-e controle (C&C) ainda estarem localizadas no Brasil, o número de sistemas afetados nos Estados Unidos está em 6%.

Figura 1. A nova versão (topo) usa a palavra “command” em seu código, em vez de “comando” em português da versão original do FighterPOS (abaixo)
Figura 2. As tentativas de conexão das novas variantes do FIghterPOS aos servidores de 23 de janeiro a 16 de fevereiro

Analisamos duas das amostras recentes que vimos: “Floki Intruder” (detectado como WORM_POSFIGHT.SMFLK), que é capaz de propagar cópias de si mesmo, e um versão leve detectada como TSPY_POSFIGHT.F.

Floki Intruder

Embora o Floki Intruder parecer o original FighterPOS por estar baseado no mesmo cliente botnet VnLoader, parece que foi compilado em uma máquina separada, muito provavelmente pelo criador da ameaça que adicionou novos recursos. Entre as funcionalidades que o Floki Intruder compartilha como o FighterPOS estão desabilitar o firewall do Windows, a proteção padrão do Windows e o Controle de Conta do Usuário. Ele também é capaz de detectar qualquer produto de segurança através do Windows Management Instrumentation (WMI). Tanto o FighterPOS como o Floki Intruder são distribuídos por meio de sites comprometidos e suas atualizações são baixadas de seus servidores comando-e-controle (C&C).

Talvez a mais notável atualização do Floki Intruder em relação ao FighterPOS é ser capaz de enumerar unidades lógicas para baixar cópias de si mesmo e um autorun.inf usando VMI. De certa forma, acrescentar essa rotina faz sentido: como é bem comum que os terminais estejam conectados em uma rede, uma rotina de propagação não apenas possibilitará ao agressor infectar o maior número de terminais possível com o mínimo de esforço, como também torna essa ameaça mais difícil de ser removida, já que uma reinfecção ocorrerá enquanto pelo menos um terminal estiver infectado.

Figura 3. O autorun.inf automaticamente executa o InstallExplorer.exe quando a unidade lógica é acessada.

TSPY_POSFIGHT.F

Ao contrário do FighterPOS original, o TSPY_POSFIGHT.F não se origina no vnLoader, portanto a comunicação C&C é diferente. Como seu tamanho é menor, ele tem menos recursos em comparação ao Floki Intruder. O TSPY_POSFIGHT.F não aceita comandos de backdoor, nem obtém qualquer outra informação sobre o computador infectado. Ele só se conecta ao servidor para enviar possíveis registros de cartão de crédito que o scraper coletou.

O que é interessante é que nos conjuntos de amostras do TSPY_POSFIGHT.F que coletamos é que elas parecem ser upgrades da versão, o que é basicamente o mesmo binário. Ou seja, parece que o cibercriminosos que está usando o TSPY_POSFIGHT.F ataca o mesmo ambiente com modificações progressivas como se estivesse fazendo um teste de esforço ou de tentativa e erro. Por exemplo, um conjunto continha o Searcher.dll visto no RDASRV, um antigo malware PoS RAM scraper. Os conjuntos mais novos contêm o recurso RAM scraping do NewPOSThings, baixado com o nome de arquivo rservices.exe.

Figure 4. Progressão do TSPY_POSFIGHT.F

Defesa contra o FighterPOS

A Trend Micro protege os clientes de todas essas ameaças relacionadas ao FighterPOS e a suas novas variantes. Para proteger as grandes empresas contra bots e malware com recursos PoS RAM-scraping, é melhor implementar um controle de aplicações em endpoint ou tecnologia de whitelisting, inclusive o Trend Micro Smart Protection Suite, para manter você no controle das aplicações que são executadas em sua rede. As empresas também podem considerar o Trend Micro Deep Discovery, que tem mecanismos de detecção especializados e sandboxing personalizadas que podem detectar atividades evasivas do agressor, como as técnicas anti-sandboxing mencionadas nessa postagem.

Clique aqui para obter mais informações técnicas sobre os TSPY_POSFIGHT.SMLFK, TSPY_POSFIGHT.F, além de URLs, regras Yara e SHA1s relacionados a essas ameaças nesse guia técnico.