NOTÍCIAS

Novo malware ataca pontos-de-venda de forma avassaladora

Novo malware ataca pontos-de-venda de forma avassaladora

by 14 de junho de 2016 0 comments

A Trend Micro – especializada na defesa de ameaças digitais e segurança na era da nuvem, mapeou uma família de malware recém-descoberta que ataca sistemas de pontos-de-venda (POS). O ataque, chamado de FastPOS, se refere à velocidade e a eficiência no roubo de dados dos cartões de crédito.

Detectado pela Trend Micro como TSPY_FASTPOS.SMZTDA, ele atinge suas vítimas por meio de três métodos:

· Links para um site médico comprometido que fala sobre técnicas cirúrgicas a laser;
· Serviço de compartilhamento de arquivos em tempo real;
· Transferência direta de arquivos via VNC.

Os dois primeiros, são aplicados por algum tipo de engenharia social necessária para fazer os usuários executarem o malware e o último implica um comprometimento de credenciais da empresa.

A Trend Micro localizou quais regiões concentram as vítimas dessa ameaça:
· Américas: Brasil e os Estados Unidos;
· Ásia: Hong Kong, Japão e Taiwan;
· Europa: França.

Ataques variados
Os setores atacados são bem variáveis: dentre eles, nos Estados Unidos, uma clínica veterinária e os alvos incluíram também empresas do setor de alimentos e logística. Em alguns destes casos, os locais das vítimas eram escritórios remotos que continham o acesso VNC aberto.

A grande característica do FastPOS é enviar imediatamente qualquer informação roubada para o atacante, em vez de armazená-la localmente e mandar em intervalos. Segundo a Trend Micro, este tipo de atividade é relativamente fácil de ser executada e passar percebida. Para todos os métodos de roubo de informações, o login da senha e raspagem da RAM sempre são usados.

As combinações de teclas registradas pela Trend Micro, não são armazenadas em um arquivo do sistema afetado, e sim, na memória. Eles são transmitidos para o atacante quando a tecla Enter é pressionada. Dependendo dos procedimentos da empresa-vítima, as informações roubadas podem incluir credenciais do usuário, identificação pessoal (IIP) de clientes e funcionários e até as informações de pagamento.

A raspagem da RAM é projetada para roubar apenas informações do cartão de crédito. Uma série de verificações são destinadas a assegurar que a raspagem da RAM é capaz de roubar números de cartões válidos.

Uma característica deste raspador de RAM que não está em uso em outros lugares, é a verificação do código de serviço do cartão. Um cartão com códigos de serviço entre 101 ou 201 podem ser usados normalmente em todo o mundo. A única diferença é que o código 201 de serviço, especifica que o chip onboard de novos cartões EMV devem ser utilizados sempre que possível. Placas que requerem PINs para transações também são excluídas.

Como mencionamos anteriormente, o FastPOS não armazena nenhuma informação nem registros localmente. Em vez disso, qualquer informação roubada é imediatamente enviada para um servidor C&C, cuja localização é codificada dentro do malware.FastPOS_TrendMicro

Quem criou o FastPOS e quem o usa?
A Trend Micro encontrou em alguns posts de um fórum clandestino de 2015, exemplos de código para malware que usavam o mesmo mutex, como as amostras FastPOS estudadas pela empresa.

Sobre o perfil do usuário desse malware, foram encontradas algumas pistas como o anúncio abaixo de um site onde outros usuários podem comprar informações de um cartão roubado:

O que foi descoberto pela Trend Micro, é que o endereço IP deste site foi usado pelo FastPOS como um servidor C&C. Em suma, as pessoas por trás do FastPOS estão vendendo credenciais roubadas por meio do mesmo servidor que usam para receber essas credenciais.

O relatório técnico da Trend Micro contém mais detalhes sobre essa ameaça, incluindo um resumo das informações do cartão que foi vendido.

Conclusões
A Trend Micro observou que o FastPOS é projetado para ambientes em uma escala muito menor. Estes podem ser os casos em que o gateway da rede primária é um modem DSL simples com portas encaminhadas para o sistema POS. Em tal situação, o alvo seria dependente quase exclusivamente na detecção de endpoint e ainda menos em caso de detecção de nível de rede.

Uma solução para as vítimas seria adaptar o controle de aplicativos de endpoint ou whitelisting, o que reduz a exposição ao ataque, garantindo que apenas atualizações associadas às aplicações na lista de autorizações possam ser instaladas.

Acesse os outros sites da VideoPress

Portal Vida Moderna – www.vidamoderna.com.br

Radar Nacional – www.radarnacional.com.br

Nenhum Comentário

Seja o Primeiro a Comentar Este Post

Nenhum Comentário Ainda!

Seja o Primeiro a fazer um comentário.

Deixe uma resposta

<

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *