Trend Micro detecta Backdoor TinyLoader que sofistica ameaças em PoS

O TinyLoader, um backdoor conhecido por infectar sistemas com outros tipos de malware, foi visto em ação em novembro de 2015 distribuindo o malware AbaddonPOS em pontos de venda (PoS). Somente em janeiro deste ano, a Trend Micro notou um aumento súbito nas detecções deste malware. O TinyPOS, outra variante, foi também encontrada.

A análise feita sugere que essas duas ameaças estão relacionadas uma com as outra, não apenas na questão da propagação, mas também na evolução do malware. A Trend Micro presume que os operadores por trás destas duas ameaças, aparentemente separadas, são na verdade um só indivíduo.

Para descobrir se o AbaddonPOS e o TinyPOS estão realmente conectados, a Trend Micro verificou um fator comum entre eles, o TinyLoader. Este backdoor é um método conhecido por introduzir infecções secundárias no sistema.

O TinyLoader tem dois pequenos componentes, um capturador de ecrã e um recenseador do processo. Esses módulos são usados ​​para coletar informações ou para fazer um reconhecimento dos sistemas infectados. Após o TinyLoader diagnosticar um sistema infectado, ele escolhe a carga apropriada a ser entregue à máquina.

Foram detectadas ainda variantes do AbaddonPOS, tais como BKDR_TINY, BKDR64_TINY ou TROJ_TINY. Baseados nos dados da Smart Protection Network Trend Micro, o Pacífico Asiático e a Europa foram bastante afetados pelo TinyLoader entre janeiro a abril de 2016.

A análise também revelou que, além de espalhar variantes do AbaddonPOS, o TinyLoader também é parcialmente responsável pela gestão de melhorias do malware. A empresa constatou que o AbaddonPOS foi testado por meio de uma implantação seletiva e, somente quando essas implantações foram comprovadamente bem-sucedidas, foram direcionadas para uma ampla distribuição.

Ainda é necessário analisar uma implantação em massa do TinyPOS, mas já puderam ser vistas infecções nos Estados Unidos e em algumas partes da Europa.