Malware de POS impressiona pela velocidade nos ataques

Segundo a Trend Micro, informações roubadas pelo FastPOS podem incluir credenciais do usuário e dados pessoais de clientes, que são transmitidas imediatamente junto com a confirmação de comandos nos dispositivo

Compartilhar:

A Trend Micro mapeou uma família de malware recém-descoberta que ataca sistemas de pontos-de-venda (POS). O ataque, chamado de FastPOS, se refere à velocidade e a eficiência no roubo de dados dos cartões de crédito.

Detectado pela Trend Micro como TSPY_FASTPOS.SMZTDA, ele atinge suas vítimas por meio de três métodos: links para um site médico comprometido que fala sobre técnicas cirúrgicas a laser; serviço de compartilhamento de arquivos em tempo real e transferência direta de arquivos via VNC.

Os dois primeiros, são aplicados por algum tipo de engenharia social necessária para fazer os usuários executarem o malware e o último implica um comprometimento de credenciais da empresa.

A Trend Micro verificou que as vítimas dessa ameaça se concentram no Brasil, Estados Unidos, Hong Kong, Japão, Taiwan e França.

Os setores atacados são bem variáveis: dentre eles, nos Estados Unidos, uma clínica veterinária e os alvos incluíram também empresas do setor de alimentos e logística. Em alguns destes casos, os locais das vítimas eram escritórios remotos que continham o acesso VNC aberto.

A grande característica do FastPOS é enviar imediatamente qualquer informação roubada para o atacante, em vez de armazená-la localmente e mandar em intervalos. Segundo a Trend Micro, este tipo de atividade é relativamente fácil de ser executada e passar percebida. Para todos os métodos de roubo de informações, o login da senha e raspagem da RAM sempre são usados.

As combinações de teclas registradas pela Trend Micro, não são armazenadas em um arquivo do sistema afetado, e sim, na memória. Eles são transmitidos para o atacante quando a tecla Enter é pressionada. Dependendo dos procedimentos da empresa-vítima, as informações roubadas podem incluir credenciais do usuário, identificação pessoal (IIP) de clientes e funcionários e até as informações de pagamento.

A raspagem da RAM é projetada para roubar apenas informações do cartão de crédito. Uma série de verificações são destinadas a assegurar que a raspagem da RAM é capaz de roubar números de cartões válidos.

Uma característica deste raspador de RAM que não está em uso em outros lugares, é a verificação do código de serviço do cartão. Um cartão com códigos de serviço entre 101 ou 201 podem ser usados normalmente em todo o mundo. A única diferença é que o código 201 de serviço, especifica que o chip onboard de novos cartões EMV devem ser utilizados sempre que possível. Placas que requerem PINs para transações também são excluídas.

Como mencionamos anteriormente, o FastPOS não armazena nenhuma informação nem registros localmente. Em vez disso, qualquer informação roubada é imediatamente enviada para um servidor CC, cuja localização é codificada dentro do malware.

Quem criou o FastPOS e quem o usa?

A Trend Micro encontrou em alguns posts de um fórum clandestino de 2015, exemplos de código para malware que usavam o mesmo mutex, como as amostras FastPOS estudadas pela empresa.

Sobre o perfil do usuário desse malware, foram encontradas algumas pistas como o anúncio abaixo de um site onde outros usuários podem comprar informações de um cartão roubado.

O que foi descoberto pela Trend Micro, é que o endereço IP deste site foi usado pelo FastPOS como um servidor CC. Em suma, as pessoas por trás do FastPOS estão vendendo credenciais roubadas por meio do mesmo servidor que usam para receber essas credenciais.

Conclusões

A Trend Micro observou que o FastPOS é projetado para ambientes em uma escala muito menor. Estes podem ser os casos em que o gateway da rede primária é um modem DSL simples com portas encaminhadas para o sistema POS. Em tal situação, o alvo seria dependente quase exclusivamente na detecção de endpoint e ainda menos em caso de detecção de nível de rede.

Uma solução para as vítimas seria adaptar o controle de aplicativos de endpoint ou whitelisting, o que reduz a exposição ao ataque, garantindo que apenas atualizações associadas às aplicações na lista de autorizações possam ser instaladas. Soluções de endpoint avançadas podem proteger os sistemas dos usuários e têm características que podem ajudar a combater ameaças contra pontos-de-venda.

Conteúdos Relacionados

Security Report | Overview

Ataques cibernéticos crescem cerca de 70% no Brasil em um ano

Os pesquisadores da Check Point Software relatam ainda o maior aumento de ciberataques globais visto nos últimos dois anos, um...
Security Report | Overview

Espiões Cibernéticos respondem pela maioria dos ataques Zero Day, revela análise

Segundo o Google, entre fevereiro de 2020 e março de 2021, foram identificados 11 grupos diferentes explorando 22 vulnerabilidades Zero...
Security Report | Overview

77% dos usuários já tiveram fricção com autenticações por senhas, alerta estudo

Estudo da Unico com o Instituto Locomotiva também informa que 45% desses entrevistados chegaram a enfrentar perdas financeiras. Tais problemas...
Security Report | Overview

Ministério Público Federal entra com ação judicial contra WhatsApp e ANPD

Maior ação judicial da história do Brasil em proteção de dados pessoais tem como base as alterações aplicadas em 2021...