En la escena del malware, no hay una señal más clara de las tendencias futuras que la filtración del código fuente de una familia de malware.
Sobre la base de esta suposición, ahora podemos esperar una afluencia de malware en el punto de venta en los próximos meses después del lanzamiento del código fuente del malware TreasureHunter PoS en un foro de ciberdelincuencia que habla ruso en marzo de este año.
Los investigadores de seguridad de Flashpoint, quienes detectaron el código fuente filtrado, confirmaron su validez.
"El código fuente es consistente con las diversas muestras que se han visto en la naturaleza en los últimos años", dijo el Director de Investigación de Flashpoint Vitali Kremez.
Con el código fuente al aire libre, TreasureHunter está destinado a generar una oleada de nuevas cepas de malware PoS, similar a la filtración del código fuente del Zeus (troyano bancario de Windows) BankBot (troyano bancario de Android), Alina (malware PoS), Tsunami (Linux / IoT DDoS y botnet malware) y Mirai (Linux / IoT DDoS y botnet malware) generaron decenas de imitadores en los últimos años.
Si bien las razones de por qué la fuga de código fuente de TreasureHunter no se han aclarado, el malware en sí es bastante viejo, ya que se detectó por primera vez en 2014.
Es posible que las personas detrás de esta amenaza estén trabajando en una versión más nueva y renovada, y decidieron volcar su trabajo anterior en el proceso.
TreasureHunter es el trabajo del autor de malware Jolly Roger
Según una investigación de FireEye 2016, TreasureHunter fue desarrollado por un autor de malware llamado Jolly Roger, y que creó el malware para un grupo llamado BearsInc, conocido por operar un foro de cibercrimen donde vendían detalles de tarjetas de pago robadas.
El malware nunca fue una cepa muy extendida y probablemente fue utilizado por este grupo solo para recopilar detalles de tarjetas de pago para vender en su foro.
El malware en sí no es algo demasiado complejo, y se ajusta al modus operandi general de todas las cepas de malware de PoS.
Una vez que infecta una máquina con Windows, TreasureHunter agrega una DLL para la persistencia de arranque, escanea los procesos relacionados con PoS-Apps, extrae los detalles de la tarjeta de pago de la memoria de la PC y carga los datos robados en un servidor remoto.
Con el código fuente de TreasureHunter a la vista, Flashpoint y otras firmas de seguridad ahora tienen una mirada más clara dentro del modo de operación de esta amenaza, no solo la vista que han tenido hasta ahora mediante la ingeniería inversa de sus binarios.
Fecha actualización el 2021-05-10. Fecha publicación el 2018-05-10. Categoría: malware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer