Novo malware PoS com código de Dexter e Chewbacca

O malware foi recentemente descoberto para sistemas PoS por pesquisadores de segurança, que afirmam incorporar código de duas outras ameaças da mesma espécie, Dexter e Chewbacca.

A nova amostra foi descoberta pelo VirusTotal e Nick Hoffman, engenheiro reverso da CBTS, diz que ele é um executivo relativamente novo.

Malware PoSO malware chamado LusyPoS foi reportado ao Google Scanning em 30 de novembro, pois foi detectado por apenas sete das 54 máquinas antivírus. No entanto, alguns dos produtos de segurança realmente detectaram o componente Tor incorporado e não a ameaça em si.

A ameaça é maior em tamanho do que outras ameaças semelhantes

Segundo o engenheiro, o LusyPoS é bastante “pesado” e, em particular, tem 4 MB de tamanho, enquanto outros malwares podem ter 17kB de tamanho (como o Getmypass PoS, também descoberto por Hoffman).

Para comparação, o BlackPoS, responsável pela violação da Target no ano passado, tem pouco mais de 250kb de tamanho. O Framework PoS, usado para espionar informações financeiras da Home Depot, tem cerca de 130kb de tamanho e o famoso Backoff, que afetou mais de 1.000 empresas nos EUA, tem cerca de 75kB de tamanho.

Referindo-se às semelhanças entre o LusyPoS e outros programas maliciosos, Hoffman disse em um post de blog na segunda-feira que o LusyPoS é “uma estranha combinação de comportamento do tipo Dexter misturado com técnicas do tipo Chewbacca”.

O código e suas técnicas não são originais

As strings encontradas durante a engenharia reversa são semelhantes às de Dexter, enquanto a conexão à rede Tor é característica de Chewbacca.

O código no LusyPoS contém informações sobre servidores C&C, bem como uma lista de processos que devem controlar a memória dos dispositivos para obter informações financeiras.

O malware também é baseado nas chaves do Registro para permanecer no sistema afetado. Segundo o pesquisador, o código é semelhante ao disponível no malware Dexter PoS.

Outra semelhança com outros malwares PoS é o uso do algoritmo Luhn para verificar informações. Hoffman diz que “o algoritmo Luhn é o algoritmo defacto para validar números de cartão de crédito” e também é usado no Framework POS, Dexter e Getmypass.

Não é incomum que os cibercriminosos tomem seqüências de malware cujo código vazou online e o inseram em seu próprio malware.