PoSマルウェア「TreasureHunter」のソースコードがオンラインに流出

『Security Affairs』

May 18, 2018 11:00
by 『Security Affairs』

研究者たちは、その脅威が遅くとも2014年の後半ごろから活動していたという証拠を発見した。「TreasureHunt」を最初に発見したSANS Instituteの研究者たちは、このマルウェアが検出を避けるためにミューテックス名を生成していることに気づいた。

TreasureHuntは、感染先のシステムで実行されているプロセスを列挙する。またクレジットカードとデビットカードの情報を抽出するメモリースクレイピングの機能を実装する。盗んだカードデータは、HTTP POSTリクエストを介してC&Cサーバーに送信される。

このマルウェアを2016年に分析したFireEyeの専門家たちは、サイバー犯罪者が「盗まれた(あるいは脆弱な)クレデンシャルを利用してPoSシステムを危殆化している」ということを見つけた。TreasureHuntはシステムに感染すると、自身を直接「%APPDATA%」にインストールし、レジストリエントリを作成することで持続性を維持する。
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheck

Flashpointの専門家たちがTreasureHunterのソースコードを発見したのは、ロシア語で会話されるトップクラスのフォーラムだった。そのコードを投稿した人物は、グラフィカルユーザーインターフェイスビルダーと管理者パネルのソースコードも流出している。

このPoSマルウェアを最初に開発した人物は、英語にも堪能なロシア語の話者であるように思われる。

Flashpointが発表した分析結果には次のように記されている。「TreasureHunterと呼ばれる、旧来型のpoint-of-sale(POS)マルウェアファミリーのソースコードが、ロシア語で会話されるトップクラスのフォーラムで流出されていた。このマルウェアのグラフィカルユーザーインターフェイスビルダーと管理者パネルのソースコードも、同じ人物によって同時に漏洩されている。そのことが、問題をより厄介にしている」
「両方のコードベースが入手できるということは、『独自のバリエーションのPoSマルウェアを構築するために、漏洩した情報を利用したい』と望んでいるサイバー犯罪者にとってのハードルが下がることになる」

サイバー犯罪者たちは、このコードベースが入手できる状況を利用して、「PoSマルウェアTreasureHunterの独自のバージョン」を作成することができるだろう。専門家たちによれば、その脅威を利用した攻撃の数は急増するおそれがある。

TreasureHunterの漏洩に携わった人物は、次のように述べている。「alinavskimmer、その他のスニファーだけでなく、Treasure Hunterも(非常に高いレートではないものの)スニフィングを行う。そしてまた、現在のあなたはソースコードを入手しているので、 いつでも自分の必要に応じてアップデートすることができる」

幸いなニュースとしては、「ソースコードが入手可能になったことにより、セキュリティ企業はその脅威を分析し、必要な対策を講じることができる」という点が挙げられる。

その悪意あるコードが拡散されることを防ぐために、FlashpointはCisco Talosの研究者たちと積極的に協働した。
 
「一方、綿密な調査が行われているその地下フォーラムでは、ロシア語を話すサイバー犯罪者たちが『漏洩したTreasureHunterのソースコードの改善と武器化』について議論している様子が観察されていた」と、その分析結果は続けて述べている。
「このマルウェアは本来、さまざまな中低層のハッキングやカーディングのコミュニティで活動を続けてきた悪名高いアングラショップのダンプセラー『BearsInc』用に開発されたもののようだ。 現時点で、そのソースコードが流出した理由は明らかになっていない」

この悪性コードは純粋なC言語で書かれており、C++の機能は含まれておらず、もともとはWindows XP上で、Visual Studio 2013でコンパイルされている。

そのコードプロジェクトは、内輪では「trhutt34C」と呼ばれていたようだ。研究者たちによれば、その作者はアンチデバッグ、コード構造、ゲート通信ロジックなど、いくつかの機能を再設計することによって改善を図っている。
 
「このソースコードは、この数年間に渡って観察されてきた様々なサンプルと一致している。TreasureHunter\config.hは、このマルウェアがこれまで(最初から最後まで)修正を重ねてきた明確な兆候を示している」と、その分析は結論づけている。
「初期のサンプルでは、設定可能なFIELDNAME_PLACEHOLDERのすべてのフィールドがビルダーで上書きされていた。(しかし)より新しいサンプル、そして今回のソースコードでは、使える設定値を直接フィールドに書き込んでいる。この変化によってサンプルはわずかに小さくなり、また再構成ファイルを作成するために新たなコンパイルを利用できるようになった」
 
翻訳:編集部
原文:The source code of the TreasureHunter PoS Malware leaked online
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…