PoS: trojan posa de aplicativo Microsoft
Pesquisadores da Doctor-Web constataram que uma familia recém descoberta de malwares para POS (Point-of-Sale) pode ignorar as defesas do computador, como o Controle de Conta de Usuário (UAC), colocando-se como uma aplicação legítima Microsoft.
Detectado como Trojan.Kasidet.1, a ameaça é distribuída como um arquivo ZIP que contém um arquivo SCR que é, na verdade, um arquivo SFX-RAR auto-extratível que executa a carga principal. Após a inspeção, os pesquisadores descobriram que o malware é uma modificação de uma outra praga projetada para atingir os terminais de pagamentos de cartões de débito/crédito (Trojan.MWZLesson).
Descoberto em setembro do ano passado, o MWZLesson chamou a atenção pela sua capacidade de interceptar solicitações do navegador, além da funcionalidade de roubo de dados. A ameaça pode interceptar solicitações GET e POST enviadas através de navegadores populares, incluindo Mozilla Firefox, Google Chrome e Maxthon, além do Internet Explorer da Microsoft.
Após a infecção, o cavalo de Tróia executa uma série de verificações para determinar se no sistema-alvo executa qualquer programa que possa prejudicar sua atividade. Ele procura por quaisquer cópias de si mesmo, bem como para máquinas virtuais, emuladores e depuradores (DEBUG) e finaliza-se caso algum destes seja encontrado. Caso contrário, o malware é executado e tenta obter privilégios de administrador, enganando as defesas do sistema padrão. No aviso do User Account Control (UAC) desencadeado pelo malware, o usuário é informado que o aplicativo em execução é chamado WMI Commandline Utility (Wmic.exe) e é desenvolvido pela Microsoft. Quando executado, o utilitário Wmic.exe executa o Kasidet, que analisa imediatamente a memória do computador em busca de dados de cartões de Banco, o mesmo que MWZLesson fez antes dele. Todos os dados são então enviados para comando e controle (C&C) do servidor do Trojan.
O Trojan também:
Obtém as senhas do usuário para Outlook, Foxmail e Thunderbird;
Se incorpora no Firefox, Chrome, Internet Explorer e Maxthon, objetivando interceptar GET e POST pedidos;
Pode baixar e executar outro aplicativo ou uma biblioteca maliciosa no computador infectado;
Pode procurar um arquivo específico em um disco;
Pode listar os processos em execução e enviar as informações para o servidor C&C.
Entretanto, uma importante (e altamente perniciosa) evolução pode ser vista: "... ao contrário do Trojan.MWZLesson, os endereços do servidor de C&C do Trojan.Kasidet.1 são colocados em uma zona de domínio descentralizada - .bit (Namecoin). Este é um sistema de servidores DNS raiz alternativos suportados em tecnologia Bitcoin." pesquisadores da Doctor-WEB explicam.
Enquanto os navegadores comuns não são capazes de acessar esses recursos de rede, o Trojan faz uso de seu próprio algoritmo para obter os IPs dos seus servidores C&C. De acordo com os pesquisadores de segurança, os primeiros programas maliciosos que utilizaram esta tecnologia Namecoin foram observados em 2013, mas eles não são detectados com frequência, ao contrário de outros Trojans.
Isso traz características "de guerra" a este tipo de praga, utilizando domínios que não podem ser rastreados e checados por antivirus ou bloqueados por firewall. Da mesma forma, escapam de sistemas de controle colocados em navegadores comuns, tornando muito mais dificil a detecção e prevenção de tais pragas.
Da mesma forma e exigindo ferramentas especializadas para este tipo de investigação, buscam dentro das normas e controles internos das Empresas, uma forma de fugirem de tais detecções, na medidas que tais ferramentas, se usadas de maneira indevida, podem também comprometer a segurança e sigilo das informações legítimas trafegadas.
Penso também que esta familia de Trojan oferece a capacidade adicional de capturar informações de Certificados Digitais que possam ser informados, via navegadores, para efeito de Autenticação e Acesso (Identidade) ou validação de transações.
