s0453-pony - RunkIntel

# Pony / Fareit > [!danger] Resumo > Infostealer/loader com código-fonte públicamente vazado (v1.9 e v2.0), em circulacao desde 2011 e vendido originalmente em forums russos. Em 2013, campanha com Pony roubou ~2 milhões de credenciais do Facebook, Google, Twitter e Yahoo. Em 2014, outra campanha desviou $200.000 em Bitcoin e outras criptomoedas. Alvo documentado: bancos brasileiros (Bradesco, Itau, Caixa Economica Federal, BB). Distribuido historicamente pelo loader [[s0499-hancitor|Hancitor]]. ## Visão Geral O [[s0453-pony|Pony]] (também conhecido como Pony Loader ou Fareit) e um malware de roubo de credenciais com capacidades de downloader, cujo código-fonte das versoes 1.0 e 2.0 foi vazado públicamente em forums de cibercrime russo. O vazamento do código transformou o Pony em uma ferramenta ubiqua: de script kiddies a grupos APT, todos passaram a usar e customizar builds do Pony para campanhas de harvesting de credenciais. O mecanismo de coleta do [[s0453-pony|Pony]] e abrangente: extrai senhas de mais de 110 aplicativos diferentes, incluindo navegadores (Chrome, Firefox, IE, Opera), clientes FTP (FileZilla, WinFTP, SmartFTP), clientes de e-mail (Outlook, Thunderbird), clientes VPN, clientes SSH e carteiras de criptomoedas (Bitcoin Core, Electrum, MultiBit, Litecoin). A compatibilidade ampla com carteiras cripto tornou o Pony uma das primeiras ferramentas de roubo focadas em ativos digitais. Em outubro de 2013, a empresa Trusteer documentou a campanha "Pony Botnet" que extraiu aproximadamente 2 milhões de credenciais, incluindo 57% do Facebook, 11% do Yahoo Mail e 9.3% do Gmail - uma das maiores campanhas documentadas de roubo de credenciais em massa da epoca. Em janeiro de 2014, outra campanha usou Pony para desviar $220.000 USD em Bitcoin, Litecoin e outras 13 criptomoedas de carteiras comprometidas. O [[s0453-pony|Pony]] e frequentemente distribuido por loaders como o [[s0499-hancitor|Hancitor]] e por exploit kits (Neutrino, RIG). A associacao com [[t1190-exploit-public-facing-application|CVE-2017-11882]] (vulnerabilidade de execução de código no Microsoft Equation Editor) foi documentada em campanhas de 2018, onde documentos RTF maliciosos instalavam o Pony sem interação do usuario alem de abrir o arquivo. **Plataformas:** Windows ## Como Funciona 1. **Entrega**: Spam com anexo malicioso (Word, RTF, EXE disfarcado) ou link para download; alternativamente entregue via exploit kits ou loader como Hancitor 2. **Execução**: EXE com junk code insertion para evadir AV; verificacoes de tempo para detectar sandbox (execução acelerada) 3. **Harvesting**: Varredura sistematica de diretorio de perfil de aplicativos; extrai credenciais de 110+ apps via SQLite queries, decryptacao de dados criptografados pelo sistema operacional 4. **Coleta adicional**: Enumera carteiras de criptomoedas, clientes VPN e arquivos de configuração com credenciais em texto plano 5. **Exfiltração**: HTTP POST para painel PHP do C2 (`/gaté.php`, `/pony/gaté.php`) com credenciais comprimidas 6. **Download**: Opcionalmenente baixa payloads adicionais como ransomware ou outros stealers ## Attack Flow - Pony ```mermaid graph TB A["Malspam / Exploit Kit Anexo RTF malicioso CVE-2017-11882 ou Word macro"] --> B["Execução EXE com junk code verifica sandbox por tempo"] B --> C["Harvesting Browsers Chrome, Firefox, IE: SQLite + DPAPI decrypt"] C --> D["Harvesting FTP e Email FileZilla, Outlook, Thunderbird, WinSCP"] D --> E["Harvesting Crypto Bitcoin Core, Electrum, MultiBit, Litecoin wallets"] E --> F["Exfiltração HTTP POST /gaté.php credenciais comprimidas"] F --> G["Loader Opcional Baixa ransomware ou payload adicional"] ``` ## Timeline de Atividade ```mermaid timeline title Pony - Evolução e Campanhas Documentadas 2011 : Primeiros avistamentos em forums russos de cibercrime 2013 : Vazamento do código-fonte v1.9 - proliferacao massiva 2013-10 : Campanha "Pony Botnet" - 2M credenciais Facebook/Google/Yahoo 2014-01 : Campanha de roubo de cripto - $220K em Bitcoin e 13 altcoins 2016 : Hancitor adota Pony como payload principal de harvesting 2018 : Associacao com CVE-2017-11882 (Equation Editor) em campanhas RTF 2018 : HHS advisory sobre uso em campanhas contra setor de saude EUA 2020 : Continua em uso por grupos de cibercrime no Brasil e LATAM 2024 : Variantes detectadas em campanhas de spam contra bancos LATAM ``` ## TTPs - Pony | Tática | Técnica | Descrição | |--------|---------|-----------|| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spam com documento Word/RTF malicioso | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Execução de EXE ou macro maliciosa | | Evasão | [[t1027-016-junk-code-insertion\|T1027.016]] | Código morto para evadir AV por assinatura | | Evasão | [[t1497-003-time-based-checks\|T1497.003]] | Verificação de tempo para detectar sandbox | | Evasão | [[t1036-masquerading\|T1036]] | EXE disfarcado como documento ou atualização | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Chrome, Firefox, IE via SQLite + DPAPI | | Credenciais | [[t1087-001-local-account\|T1087.001]] | Enumeracao de contas locais | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP POST para painel PHP /gaté.php | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de payloads adicionais do C2 | ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil > **Pony/Fareit** tem campanhas documentadas contra os **quatro maiores bancos brasileiros** (Bradesco, Itaú, Caixa Econômica Federal, Banco do Brasil). Com código-fonte público, grupos de cibercrime locais customizam builds para campanas de harvesting de credenciais em português. O roubo de **carteiras de criptomoedas** é especialmente relevante dado o crescimento do mercado cripto brasileiro. Lures adaptados para **NFe (Nota Fiscal Eletrônica)** e **SEFAZ** são documentados pelo CERT.br e pela Tempest Security. O [[s0453-pony|Pony]] tem documentacao concreta de campanhas contra o setor financeiro brasileiro. Grupos de cibercrime que operam no Brasil adquiriram e customizaram builds do Pony (código-fonte público) para campanhas de harvesting de credenciais de internet banking, específicamente visando clientes do Bradesco, Itau, Caixa Economica Federal e Banco do Brasil - os quatro maiores bancos do pais. A capacidade de roubar carteiras de criptomoedas e especialmente relevante dado o crescimento do mercado cripto brasileiro. O Brasil figura consistentemente entre os paises com maior adocao de criptomoedas na América Latina, tornando o Pony uma ameaça direta para investidores individuais e exchanges. O modelo de distribuição via [[s0499-hancitor|Hancitor]] - que usa lures de documentos (DocuSign, faturas, entrega) facilmente adaptaveis para NFe (Nota Fiscal Eletronica) ou comúnicados do SEFAZ - aumenta a eficacia do vetor no contexto brasileiro. Campanhas adaptadas para portugues brasileiro com lures fiscais ou bancarios sao documentadas pelo CERT.br e pela Tempest Security. ## Detecção > [!tip] Indicadores de Detecção > - Processo acessando sequencialmente arquivos SQLite de perfil de múltiplos navegadores em < 30 segundos - padrao de harvesting sistematico > - HTTP POST para URIs `/gaté.php`, `/pony/gaté.php` ou `/panel/gaté.php` com payload comprimido > - Processo acessando arquivos `wallet.dat` em diretorios `%APPDATA%\Bitcoin`, `%APPDATA%\Electrum` - indicador de roubo de cripto > - YARA: `neo23x0/signature-base` - `apt_pony_fareit.yar` com strings de configuração e painel Pony > - Snort/Suricata: Regras para detecção de POST para `/gaté.php` com payload formato Pony ## Referências - [1](https://attack.mitre.org/software/S0453/) MITRE ATT&CK - Pony S0453 (2024) - [2](https://www.trusteer.com/resources/pony-botnet-steal-2-million-passwords/) Trusteer - Pony Botnet: 2 Milhoes de Senhas Roubadas (2013) - [3](https://www.hhs.gov/sites/default/files/pony-malware-analyst-report.pdf) HHS/HC3 - Pony Malware Analyst Report TLP:WHITE (2020) - [4](https://securityaffairs.com/22005/cyber-crime/pony-botnet-stole-220000-worth-of-virtual-currencies.html) Security Affairs - Pony Botnet: $220K em Criptomoedas Roubadas (2014) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.pony) Malpedia - Pony/Fareit Family (2024) - [6](https://blog.malwarebytes.com/threat-analysis/2017/01/pony-malware-stealing-from-digital-wallets/) Malwarebytes - Pony Malware Roubando Carteiras Digitais (2017)