Variantes de Malware do Tipo "GamaPoS" Atacam Empresas dos Estados Unidos
Publicado em 15-07-2015 03:00
Depois de dedicar os seus esforços para o aumento absurdo do número de computadores atrelados a sua rede maliciosa, os responsáveis pelo botnet Andromeda estão colocando-se a disposição para a prestação de seus serviços, oferecendo uma nova família de malware PoS para tantos sistemas do gênero em questão,fazendo isso o quanto puderem. Os sistemas passaram a serem infectados com o backdoor Andromeda depois que os usuários abriram algum anexo malicioso ou visitaram algum um site de hospedagem de um kit exploit. No primeiro exemplo, os anexos vem muitas vezes, disfarçados de documentos necessários para os padrões de compliance com o PCI DSS ou atualização de plataforma Oracle MICROS da empresa provedora dos maiores bancos de dados do mundo. Uma vez convertido em botnet Andromeda, cada uma das máquinas afetadas agora tem a possibilidade de ser manipuladas através de um painel de controle, e assim, os cibercriminosos passam a executar comandos diferentes.
Os invasores utilizam cópias das ferramentas "Mimikatz" e "PsExec" para ganhar o controle. Ressaltando que "PsExec" foi utilizada nas investidas realizadas contra a Target, para matar processos e mover arquivos. É uma ferramenta do tipo "lista branca" legítima, que os invasores podem perfeitamente usar para controlar remotamente e executar diagnósticos em sistemas. Por outro lado, "Mimikatz" é uma ferramenta de conhecimento público, inserida em outras ferramentas, que os atacantes normalmente modificam. Ele pode ser considerado uma das melhores ferramentas para coletar credenciais de um sistema Windows. Além do mais, nem todos os computadores, embora muitos deles estejam na chamada "linha de tiro", estão infectados pelo malware "GamaPoS"instalado neles. Nesse cenário, os pesquisadores estimam que ele pode ter atingido apenas 3,8% das pessoas afetadas pela botnet Andromeda.
Saiba Mais:
[1] Net Security
http://www.net-security.org/malware_news.php?id=3077
