Floki Bot: Nome engraçado, pesadelo financeiro?

Um novo malware bancário está sendo vendido em vários mercados da Dark Web como uma forma de obter dados de ponto de venda (POS). De acordo com o Threatpost , o novo Floki Bot é baseado no código-fonte do Zeus 2.0.8.9.

Em muitos aspectos, ele supera seu antecessor em termos de escopo e gravidade. Os pesquisadores agora observaram o bot em ação em bancos e seguradoras dos Estados Unidos, Canadá e Brasil . Será o pequeno bot com o nome engraçado o novo pesadelo financeiro da Internet?

Vida da festa do PDV

Os cibercriminosos que visam dados de PDV não são novidade. Conforme observado pela SC Magazine , houve um aumento de 400% no malware de POS nos Estados Unidos durante o fim de semana de Ação de Graças, com o NewPOSthings e o sempre popular ZeusPOS fazendo aparições.

Enquanto as equipes de segurança anteciparam um aumento no comportamento predatório de POS da Black Friday até a Cyber ​​Monday, os pesquisadores da empresa de segurança Proofpoint observaram que “os picos foram dramáticos”. Em outras palavras, os cibercriminosos agora estão dobrando quando se trata de dias de compras de alto tráfego, e por que não quando há tantos dados de PDV para capturar?

Floki Bot é uma das variantes mais recentes em cena. De acordo com o especialista em segurança Dr. Peter Stephenson , esse bot vem ganhando terreno desde setembro, quando começou a aparecer nos mercados da Dark Web. O autor de Floki tem falado sobre suas capacidades, alegando que pode escapar de uma inspeção profunda de pacotes e ler dados de cartão de crédito da faixa 2. O malware também possui uma taxa de execução de 70 por cento sobre o clipe de 30 por cento do Zeus.

Embora alguns desses pontos de discussão possam ser mais uma campanha publicitária de marketing do que resultados mensuráveis, Stephenson achou o Floki mais difícil do que a média de rastrear durante uma inspeção profunda de pacotes. O Floki agora está sendo usado por pelo menos 10 gangues cibercriminosas que podem comprá-lo por US $ 1.000 no Alphabay ou em outros sites Dark. No início, o Zeus saiu por $ 15.000 e foi usado por apenas cinco cybergangs. Floki Bot pode ser a nova vida da festa do PDV.

Floki Bot não é acertado

Conforme observado pela Infosecurity Magazine , o Floki Bot não apenas reaproveita o código do Zeus que vazou em 2011, mas na verdade faz uma série de melhorias. Por exemplo, o autor adicionou métodos de gancho para capturar dados de rastreamento de cartão de crédito da memória, tornando-o mais versátil do que a maioria dos outros cavalos de Tróia bancários.

Ele está usando uma combinação de campanhas de spear phishing direcionadas e o kit de exploração RIG para infectar bancos e seguradoras nos Estados Unidos, Canadá e Brasil. É um movimento muito mais ousado do que seu progenitor, que preferia sutileza e especificidade a ataques generalizados.

Também é importante notar que o malware é adaptável e agressivo. Depois de executado, ele tenta infectar o explorer.exe. Se isso falhar, ele opta por svchost.exe, ao mesmo tempo em que faz o hash em todos os estágios de seu processo para ofuscar ações e confundir as equipes de segurança.

Além disso, há um código do Tor adormecido no novo bot que parece ser um trabalho em andamento, já que os pesquisadores de segurança não conseguiram ativá-lo. Isso poderia tornar o malware de POS ainda mais frustrante se os IPs de origem e destino fossem cobertos pelo anonimato do Tor.

Embora o nome não inspire exatamente medo, esse malware inspirado no Zeus está se revelando um grande problema de PDV. Isso pode se transformar em um pesadelo com apoiadores suficientes e um impulso para seu código Tor latente.

Fonte: https://securityintelligence.com/