Segurança da Informação

Ξ 2 comentários

Entenda os ataques de malwares aos ponto-de-venda (PoS)

publicado por Abian Laginestra

Figura - Entendo os ataques de malwares aos ponto-de-venda (PoS)Cibercriminosos criaram dois novos malwares que atacam os pontos-de-venda e são configurados para coletar dados de cartões de vários sistemas de pagamentos.

Os pesquisadores da Trend Micro estão chamando-o de MalumPoS.

No exterior eles atacam sistemas baseados em Oracle, já que o mesmo possui bastante granularidade.

Os dados recolhidos são de pelo menos, cinco diferentes cartões, entre débito e crédito.

Uma vez na máquina de alvo, o comportamento dos MalumPoS é semelhante ao de outros tipos de malware PoS, que começam a procurar informações dos cartões nos processos em execução na memória do sistema, enquanto a conexão com a rede da bandeira é estabelecida.

Para evitar a detecção, o malware se coloca como o driver de vídeo NVIDIA e se instala como um serviço. Esse malware pode filtrar até 100 processos em execução e se baseia em expressões regulares para determinar se os dados correspondem aos detalhes de um cartão ou não.

As informações coletadas da memória são armazenadas em um arquivo criptografado, cujo nome (nvsvc.dll) fazendo parecer como se fosse parte de drivers da NVIDIA, de modo que ele não levante suspeita.

A análise do malware mostra que ele procura dados da Visa, MasterCard, American Express, Discover cartões, Diners Club.

O MalumPoS carece de capacidade de exfiltração de dados, o que é um alívio na resposta à ele, ao contrário do malware NitlovePoSa (POS) que se baseia na comunicação criptografada para exfiltração das informações sobre os cartões a partir da memória das máquinas de processamento de pagamento.

O problema nos ataques com exfiltração de dados é que ao enviar dados usando SSL (Secure Sockets Layer), os hackers garantem que a detecção em nível de rede será mais difícil, pois os detalhes da comunicação não podem ser analisados.

No meio do caminho para essa prática há um servidor de download de malwares hospedando várias ameaças para diferentes fins. Normalmente esses ataques é a junção de duas ou três ferramentas que funcionam integradas nativamente, mas que são segregadas a fim de não serem detectadas por verificação heurística.

A forma de contágio do NitlovePoS é a entrega de forma discriminada, o que determinará o uso do MalumPOS ou Nitlove será a identificação da natureza da vítima pelos cibercriminosos, aqui podemos perceber que a velha engenharia social demonstra-se sempre atuante.

A infecção em geral começa com um email de spam que pretende vir de alguém que procura um trabalho ou vende um serviço, entregando um documento do Word com um script de macro malicioso.

Para convencer o destinatário a habilitar a funcionalidade, o documento afirma estar protegido e oferece instruções sobre como seu conteúdo pode ser revelado.

Uma vez que o recurso de script da macro se torna ativo, um downloader malware é automaticamente e instalado, via peer-to-peer, o que dificuldade mapear a origem dos ataques.

Todavia sabe-se que o servidor de comando e controle em geral estão localizados na Rússia.

Os pesquisadores descobriram três ameaças disponíveis no malwares PoS:

  • Uma para comunicação segura com o servidor ,
  • Uma para armazenar os dados do cartão de memória;
  • Uma para raspar os dados do cartão de outros processos carregados na memória do computador. Método conhecido como “scraping”.

O NitlovePoS se copia para o disco usando uma técnica via ADS – Fluxos Alternativos de Dados – nativa no NTFS da Microsoft.

Ambos os arquivos são salvos em um local no Windows que não é facilmente acessível pelo usuário. Selecionando-se esse método existe a garantia que os arquivos serão mais difíceis de localizar, porque eles não são visíveis no sistema de arquivos no modo default.

Para alcançar a persitência, o malware se agrega à chave de registro Run, permitindo-lhe reiniciar em cada boot do computador. O script VBS também monitora o processo malicioso e se reinstala se for excluído.

Depois que tudo estiver configurado, NitlovePoS começa a procurar a trilha 1 e a trilha 2, recolhendo informações das tarjas magnéticas dos cartões do terminal PoS.

As duas faixas de dados contêm todas as informações necessárias para a clonagem dos cartões.

No exterior a segurança dos terminais de ponto-de-venda (POS) são por diversas vezes ignoradas pelos vendedores dos sistemas, fazendo com que eles possam ser facilmente comprometidos por hackers através de ambos os ataques, físicos e digitais.

Essa prática distoa bastante do Brasil, que possui melhores sistemas de segurança.

Arrisco-me a dizer que explicação seja o fato que o custo para a mitigação seja maior que o seguro pago em caso de fraude.

Em qualquer caso deve-se tomar cuidado em compras no exterior, quer sejam on-line ou sejam em lojas físicas.

[Crédito da Imagem: Malwares – ShutterStock]

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Profissional com 20 anos de experiência nas áreas de tecnologia, compliance e administrativa de empresas, com forte preocupação em segurança da informação e aderência regulatória. Possui larga experiência na área de Ciência da Computação, com ênfase em Sistemas de Informação. MBA em Gestão da Segurança da Informação pelo INFNET, e graduado pela EBAPE - Fundação Getúlio Vargas.

Abian Laginestra

Comentários

2 Comments

  • Parabéns e obrigado Abian,
    Excelente artigo, até mesmo para o meu caso ” leigo” em questões de termos técnicos em sistemas de Informação, muito esclarecedor.
    Já estou ansioso por mais artigos.

  • Gerson,

    O prazer é meu em desmitificar assuntos de TI e democratizá-los para entendimento geral.
    Abços.

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.