Em abril de 2015, a Trend Micro mapeou o FighterPOS, um malware de Ponto de Venda (PDV), que foi usado em uma operação criminosa orquestrada por somente um hacker, para roubar mais de 22.000 números de cartão de crédito exclusivos e afetou mais de 100 terminais PDV no Brasil e em outros países.
Recentemente, a Trend Micro deparou-se com versões novas e aparentemente aprimoradas desse malware. Entre outras coisas, o FighterPOS agora tem capacidade de propagação. Isso significa que ele pode propagar-se de um terminal PDV para outro que esteja conectado à mesma rede e assim aumentar o número de potenciais vítimas em uma empresa.
Também é possível notar que com base na análise de seus códigos, que as novas variantes do FighterPOS têm sequências de código escrito em inglês ao invés de português. Segundo a Trend Micro isso pode significar que quem está por trás dessas novas versões está operando em países de língua inglesa ou adaptando-se para visar países como o Estados Unidos.
Os dados coletados pela Trend Micro Smart Protection Network suporta essas descobertas: apesar de mais de 90% das tentativas de conexão aos servidores de comando e controle (C&C) ainda estarem localizadas no Brasil, o número de sistemas afetados nos Estados Unidos está em 6%.
Abaixo a análise de duas das amostras recentes que o Laboratório de Segurança e Ameaça da Trend Micro detectou: "Floki Intruder" (detectado como WORM_POSFIGHT.SMFLK), que é capaz de propagar cópias de si mesmo, e um versão leve detectada como TSPY_POSFIGHT.F.
Floki Intruder
Embora o Floki Intruder seja semelhante ao original FighterPOS por estar baseado no mesmo cliente botnet VnLoader, aparentemente foi compilado em uma máquina separada, muito provavelmente pelo criador da ameaça que adicionou novos recursos.
Entre as funcionalidades que o Floki Intruder compartilha como o FighterPOS estão desabilitar o firewall do Windows e o Controle de Conta do Usuário. Ele também é capaz de detectar qualquer produto de segurança por meio do Windows Management Instrumentation (WMI). Tanto o FighterPOS como o Floki Intruder são distribuídos por meio de sites comprometidos e suas atualizações são baixadas de seus servidores comando-e-controle (C&C).
Talvez a mais notável atualização do Floki Intruder em relação ao FighterPOS é ser capaz de enumerar unidades lógicas para baixar cópias de si mesmo e um autorun.inf usando VMI. De certa forma, acrescentar essa rotina faz sentido: como é bem comum que os terminais estejam conectados em uma rede, uma rotina de propagação não apenas possibilitará ao agressor infectar o maior número de terminais possível com o mínimo de esforço, como também torna essa ameaça mais difícil de ser removida, já que uma reinfecção ocorrerá enquanto pelo menos um terminal estiver infectado.
TSPY_POSFIGHT.F
Ao contrário do FighterPOS original, o TSPY_POSFIGHT.F não se origina no vnLoader, portanto a comunicação C&C é diferente. Como seu tamanho é menor, ele tem menos recursos em comparação ao Floki Intruder. O TSPY_POSFIGHT.F não aceita comandos de backdoor, nem obtém qualquer outra informação sobre o computador infectado. Ele só se conecta ao servidor para enviar possíveis registros de cartão de crédito que o scraper coletou.
O que é interessante é que nos conjuntos de amostras do TSPY_POSFIGHT.F coletados, elas parecem ser upgrades da versão, o que é basicamente o mesmo binário. Ou seja, é provável que os cibercriminosos que estejam usando o TSPY_POSFIGHT.F ataquem o mesmo ambiente com modificações progressivas como se estivessem fazendo um teste de esforço ou de tentativa e erro. Por exemplo, um conjunto continha o Searcher.dll visto no RDASRV, um antigo malware PoS RAM scraper. Os conjuntos mais novos contêm o recurso RAM scraping do NewPOSThings, baixado com o nome de arquivo rservices.exe.
Defesa contra o FighterPOS
Segundo a Trend Micro para proteger as grandes empresas contra bots e malware com recursos PoS RAM-scraping, o mais recomendado é implementar um controle de aplicações em endpoint ou tecnologia de whitelisting para manter o usuário no controle das aplicações que são executadas em sua rede.