1. 首页
  2. 网络安全

PoS恶意软件“TreasureHunter”的源代码在线泄露

研究者们发现了其威胁最迟在2014年后半期开始活动的证据。首先是“TreasureHunt”发现了SANS Institute的研究者们注意到了这个恶意软件为了避免检测而生成了变位符名称。TreasureHunt列举了在被感染的系统上运行的进程。还有信用卡和借记卡信息安装提取的存储器划线功能。偷走的卡数据通过HTTP POST请求发送到C&C服务器。在2016年分析了该恶意软件的FireEye专家们发现了网络犯罪者“利用被盗(或者脆弱的)凭证使PoS系统变得危险”。TreasureHunt在感染系统时,将自身直接安装到“%APDATA%”上,通过创建注册表项来维持持久性。

PoS恶意软件“TreasureHunter”的源代码在线泄露

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheckFlashpoint的专家们发现TreasureHunter的源代码,是用俄语对话的顶级论坛。投稿该代码的人,也流失了图形用户界面生成器和管理者面板的源代码。最初开发这个PoS恶意软件的人物,被认为是英语也熟练的俄语说话者。由Flashpoint发布分析结果如下所述。“被称为TreasureHunter的传统point-of-sale(POS)恶意软件家族的源代码在俄语对话的顶级论坛中被流出.该恶意软件的图形用户界面生成器和管理员面板的源代码也同时被同一人泄漏。这使问题更加棘手。”

“两种代码库都能得到,这将降低网络犯罪者的门槛,因为我们希望利用泄露的信息来构建具有独特变体的PoS恶意软件”。“。网络犯罪者可以利用此代码库来制作“PoS恶意软件TreasureHunter的独特版本”。据专家们说,利用这种威胁的攻击数量有急剧增加的危险。参与TreasureHunter泄漏的人如是说。.alina、vskimmer,不仅是其他探险者,Treasure Hunter也(虽然不是非常高的汇率)进行探查。而现在,你已经拿到了源代码,所以你可以随时随地更新。”。幸运的是,“通过提供源代码,安全公司可以分析威胁并采取必要的措施”。为了防止恶意代码被扩散,Flashpoint与Cisco Talos研究者积极合作.

“另一方面,在进行细致调查的地下论坛中,观察到了说俄语的网络罪犯们在讨论“泄漏的TreasureHunter的源代码的改善和武器化”的情况,其分析结果继续阐述。

“这个恶意软件本来是为在各种各样的中低层黑客和卡通的社区中持续活动的臭名昭著的商店的转储商”BearsInc“而开发的。目前,该源代码被泄露的原因尚不明确。”该恶性代码以纯粹的C语言编写,不包括C++功能,最初在Windows XP上,在Visual Studio 2013中编译。其代码项目,在内部似乎被称为“trhutt34C”。研究者们认为,作者通过重新设计抗调试、代码结构、门通信逻辑等若干功能来谋求改进.

“该源代码与过去几年中观察到的各种样本一致。TreasureHunter\config.h得出结论:该恶意软件已经表现出了迄今为止(从头到尾)修改的明确迹象”。

“初期的样品中,可以设定的FIELDNAME_PLACEHOLDER的所有字段都被生成器覆盖了。(但是)较新的样本,以及在这次的源代码中,能够使用的设定值直接写入字段。这种变化会使样本略有减少,并允许使用新的编译来创建重新配置的文件。

原创文章,作者:奈落,如若转载,请注明出处:https://www.zx116.com/?p=461

发表评论

电子邮件地址不会被公开。 必填项已用*标注