Carding 4 Carders
Professional
- Messages
- 2,724
- Reaction score
- 1,584
- Points
- 113
Эксперты по безопасности Flashpoint подтвердили, что исходный код вредоносной программы TreasureHunter PoS доступен в Интернете с марта.
Исследователи обнаружили доказательства того, что угроза существует по крайней мере с конца 2014 года. TreasureHunt была впервые обнаружена исследователями из института SANS, которые заметили, что вредоносная программа генерирует имена мьютексов, чтобы избежать обнаружения.
TreasureHunt перечисляет процессы, запущенные в зараженных системах, и реализует функции очистки памяти для извлечения информации о кредитных и дебетовых картах. Данные украденных платежных карт отправляются на C&C серверы через HTTP-запросы POST.
Эксперты FireEye считают, что анализировавшие вредоносное ПО еще в 2016 году обнаружили, что киберпреступники взломали системы PoS, используя украденные или ненадежные учетные данные. Как только вредоносная программа TreasureHunt заражает системы, она устанавливается в каталог «% APPDATA%» и поддерживает постоянство, создавая запись в реестре:
Эксперты Flashpoint обнаружили исходный код TreasureHunter на первоклассном русскоязычном форуме. Парень, разместивший код, также слил исходный код для конструктора графического интерфейса пользователя и панели администратора.
Первоначальный разработчик вредоносного ПО для PoS, по всей видимости, является русскоговорящим и хорошо владеет английским языком.
«Исходный код давнего семейства вредоносных программ для торговых точек (PoS) под названием TreasureHunter просочился на ведущий русскоязычный форум. Проблема усугубляется совпадающей утечкой одним и тем же субъектом исходного кода для конструктора графического пользовательского интерфейса и панели администратора вредоносной программы» читает анализ, опубликованный Flashpoint.
«Доступность обеих кодовых баз снижает входной барьер для киберпреступников, желающих воспользоваться утечками для создания своих собственных вариантов вредоносного ПО для PoS».
Киберпреступники могут воспользоваться доступностью вышеуказанных кодовых баз для создания своей собственной версии вредоносного ПО TreasureHunter PoS, по мнению экспертов, количество атак, использующих эту угрозу, может быстро увеличиться.
Отвественный за утечки TreasureHunter сказал: «Кроме Алины, vskimmer и других перехватчиков, Охотник за сокровищами еще нюхает (не на очень высокой скорости, но он по- прежнему делает) и, кроме того, так как теперь у вас есть исходный код, он может быть обновление в любое время для собственных нужд».
Хорошая новость заключается в том, что доступность исходного кода может позволить охранным фирмам проанализировать угрозу и принять необходимые меры противодействия.
Flashpoint активно сотрудничал с исследователями Cisco Talos, чтобы предотвратить распространение вредоносного кода.
«Тем временем русскоязычные киберпреступники были замечены в проверенном подполье, обсуждая улучшения и вооружение утекшего исходного кода TreasureHunter», - продолжает анализ.
«Изначально это вредоносное ПО, похоже, было разработано для печально известного продавца свалок подпольных магазинов «BearsInc», который поддерживал присутствие в различных хакерских и кардинговых сообществах низкого и среднего уровня (ниже графическое изображение такой операции на Deep И Dark Web). Неизвестно, почему в это время произошла утечка исходного кода».
Вредоносный код написан на чистом C, он не включает функции C ++ и изначально был скомпилирован в Visual Studio 2013 для Windows XP.
Проект кода, по-видимому, внутренне называется trhutt34C, по словам исследователей, автор работал над его улучшением, переделав несколько функций, включая анти-отладку, структуру кода и логику взаимодействия шлюзов.
«Исходный код соответствует различным образцам, которые были замечены в дикой природе за последние несколько лет. TreasureHunter \ config.h демонстрирует явные признаки модификации в течение срока службы вредоносного ПО» завершил анализ.
«В ранних примерах все настраиваемые поля заполнялись значением FIELDNAME_PLACEHOLDER, которое разработчик мог перезаписать. Более свежие образцы и исходный код вместо этого записывают полезные значения конфигурации непосредственно в поля. Это делает образцы немного меньше и использует свежие компиляции для создания реконфигурированных файлов».
Исследователи обнаружили доказательства того, что угроза существует по крайней мере с конца 2014 года. TreasureHunt была впервые обнаружена исследователями из института SANS, которые заметили, что вредоносная программа генерирует имена мьютексов, чтобы избежать обнаружения.
TreasureHunt перечисляет процессы, запущенные в зараженных системах, и реализует функции очистки памяти для извлечения информации о кредитных и дебетовых картах. Данные украденных платежных карт отправляются на C&C серверы через HTTP-запросы POST.
Эксперты FireEye считают, что анализировавшие вредоносное ПО еще в 2016 году обнаружили, что киберпреступники взломали системы PoS, используя украденные или ненадежные учетные данные. Как только вредоносная программа TreasureHunt заражает системы, она устанавливается в каталог «% APPDATA%» и поддерживает постоянство, создавая запись в реестре:
Code:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ jucheckЭксперты Flashpoint обнаружили исходный код TreasureHunter на первоклассном русскоязычном форуме. Парень, разместивший код, также слил исходный код для конструктора графического интерфейса пользователя и панели администратора.
Первоначальный разработчик вредоносного ПО для PoS, по всей видимости, является русскоговорящим и хорошо владеет английским языком.
«Исходный код давнего семейства вредоносных программ для торговых точек (PoS) под названием TreasureHunter просочился на ведущий русскоязычный форум. Проблема усугубляется совпадающей утечкой одним и тем же субъектом исходного кода для конструктора графического пользовательского интерфейса и панели администратора вредоносной программы» читает анализ, опубликованный Flashpoint.
«Доступность обеих кодовых баз снижает входной барьер для киберпреступников, желающих воспользоваться утечками для создания своих собственных вариантов вредоносного ПО для PoS».
Киберпреступники могут воспользоваться доступностью вышеуказанных кодовых баз для создания своей собственной версии вредоносного ПО TreasureHunter PoS, по мнению экспертов, количество атак, использующих эту угрозу, может быстро увеличиться.
Отвественный за утечки TreasureHunter сказал: «Кроме Алины, vskimmer и других перехватчиков, Охотник за сокровищами еще нюхает (не на очень высокой скорости, но он по- прежнему делает) и, кроме того, так как теперь у вас есть исходный код, он может быть обновление в любое время для собственных нужд».
Хорошая новость заключается в том, что доступность исходного кода может позволить охранным фирмам проанализировать угрозу и принять необходимые меры противодействия.
Flashpoint активно сотрудничал с исследователями Cisco Talos, чтобы предотвратить распространение вредоносного кода.
«Тем временем русскоязычные киберпреступники были замечены в проверенном подполье, обсуждая улучшения и вооружение утекшего исходного кода TreasureHunter», - продолжает анализ.
«Изначально это вредоносное ПО, похоже, было разработано для печально известного продавца свалок подпольных магазинов «BearsInc», который поддерживал присутствие в различных хакерских и кардинговых сообществах низкого и среднего уровня (ниже графическое изображение такой операции на Deep И Dark Web). Неизвестно, почему в это время произошла утечка исходного кода».
Вредоносный код написан на чистом C, он не включает функции C ++ и изначально был скомпилирован в Visual Studio 2013 для Windows XP.
Проект кода, по-видимому, внутренне называется trhutt34C, по словам исследователей, автор работал над его улучшением, переделав несколько функций, включая анти-отладку, структуру кода и логику взаимодействия шлюзов.
«Исходный код соответствует различным образцам, которые были замечены в дикой природе за последние несколько лет. TreasureHunter \ config.h демонстрирует явные признаки модификации в течение срока службы вредоносного ПО» завершил анализ.
«В ранних примерах все настраиваемые поля заполнялись значением FIELDNAME_PLACEHOLDER, которое разработчик мог перезаписать. Более свежие образцы и исходный код вместо этого записывают полезные значения конфигурации непосредственно в поля. Это делает образцы немного меньше и использует свежие компиляции для создания реконфигурированных файлов».
