Malware foi instalado em 2.600 pontos
de vendas de estabelecimentos comerciais em todo o Brasil
Recentemente,
a equipe de Threat Intelligence da Tempest identificou uma campanha de malware
direcionada à captura de dados de cartões de pagamento transacionados em
sistemas de ponto de venda (PDV) em computadores de estabelecimentos comerciais
(também conhecidos como TEFs). Essa campanha chamou a atenção pela alta
volumetria de dados de cartões capturados, ainda que apresentando baixo nível
de sofisticação técnica.
Head de
Threat Intelligence da Tempest, Ricardo Ulisses diz que foi possível
identificar 8 servidores que serviam de repositório das informações capturadas
pelo malware. “Analisando estes servidores, entendemos que esta
operação era controlada por, ao menos, 10 operadores diferentes que capturaram
mais de 2,3 milhões de informações de cartões de crédito e débito, em pelo menos
2.600 sistemas em estabelecimentos comerciais em todo Brasil”, explica.
A empresa
ressalta que, até o momento, não há indícios de que os cartões roubados foram
usados em fraudes ou que vazaram em outros canais. Assim que identificou esta
campanha, a Tempest conduziu um processo no qual reportou a ameaça a bancos,
entidades de classe e outros membros da comunidade de segurança de modo que
essas instituições pudessem tomar as medidas cabíveis em relação aos cartões e
mitigar fraudes antes da divulgação do relatório.
“Nenhum dos
malwares
identificados nesta campanha utiliza técnicas que dificultem sua análise ou
detecção por software antivírus, e já são detectados. Apesar disso, a Tempest
está colaborando e compartilhando informações com parceiros de empresas de
antivírus”, afirma Ulisses.
Apesar de
não ser possível afirmar como o malware foi instalado em cada máquina,
sabe-se que, conceitualmente, o golpe é simples e de baixa complexidade. O
estágio inicial de infecção é feito a partir de um arquivo executável com a
função de descarregar e copiar outros três artefatos para o diretório %TEMP%. A
partir deste ponto, se inicia a execução dos arquivos e o monitoramento dos
processos de interesse.
O malware
dispõe pelo menos de três funções genéricas principais, que consistem em criar
persistência na inicialização do Sistema Operacional, acompanhar os registros
realizados pela vítima por meio do teclado do computador infectado (não do pinpad
– leitor de cartões utilizado para a realização de pagamentos – em si) e monitorar
processos de interesse, em sua maioria relacionados a software PDV.
De acordo
com a leitura do código-fonte da aplicação, constatou-se que a memória desses
processos é monitorada em busca de vestígios de informações relacionadas a
números de cartões de pagamento. Durante a análise, também foi localizado um
registro de sistemas infectados pelo malware onde constam informações do
computador da vítima, como NOME DO COMPUTADOR e NOME DO USUÁRIO logado na
máquina no momento da infecção.
Dados de
cartões transacionados nos computadores dos estabelecimentos infectados foram
identificados e interceptados pelos cibercriminosos que operam a engenharia do malware,
porém, as senhas desses cartões não foram capturadas.
Nenhum comentário:
Postar um comentário