A Arbor Networks, divisão de segurança da NETSCOUT, anuncia que sua equipe de engenharia e resposta a ameaças (ASERT – Security Engineering & Response Team) detectou e publicou resultado de suas pesquisas sobre a atuação do malware FlokiBot dirigida a máquinas para pagamento com cartão (PDV) no Brasil.
A primeira informação da Arbor sobre o FlokiBot data de outubro de 2016, e aponta que o cavalo de Troia FlokiBot, derivado do Zeus, estava sendo vendido em fóruns da dark web ao preço de mil dólares – um alto preço nesse mercado. Nessa ocasião, o ASERT observou novos recursos, incluindo protocolo de comando e controle (C2) modificado, funcionalidade de ataque DDoS e de leitura de memória de cartão de crédito.
Nas últimas semanas, o ASERT detectou uma campanha FlokiBot especificamente relacionada a um C2 voltado particularmente a alvos brasileiros e compreendendo máquinas PDV e sistemas utilizados no processamento de cartões de crédito. No Brasil, o malware opera criando pequenas botnets – tipicamente formadas por menos de 50 máquinas comprometidas.
O baixo número de equipamentos infectados para realizar o ataque revela um esquema com alvos determinados, ao invés de uma distribuição generalizada do malware por meio de propaganda web ou por mecanismos de fornecimento de kits como commodities. E quanto menos difundido o malware, menores as chances de ele chamar atenção de equipes de segurança, e, por conseguinte, de ser descoberto.
“Indivíduos ou empresas que operam sistemas PDV devem estar particularmente atentos ao uso de software de gerenciamento remoto, senhas fracas ou senhas padrão. Também precisam ter cuidado com dispositivos usados por terceiros e empresas subcontratadas para realizar manutenção em seus sistemas”, aconselha Kleber Carriello, consultor sênior da área de engenharia da Arbor Networks, baseado no Brasil.
“Conhecer o tráfego da rede, de modo a detectar um volume significativo do tráfego que sai da rede da empresa, ou a conexão de um host da rede interna com algum host suspeito na Internet, é também de extrema importância para evitar danos causados por esse tipo de malware”, completa Kleber.
