A empresa
de cibersegurança Tempest descobriu uma campanha de infecção via
malware que já roubou dados de 2,3 milhões de cartões de crédito em 2,6 mil
sistemas no Brasil — esse número pode ser ainda maior, segundo a empresa.
"Em
apenas uma rede de restaurantes de fast food foram identificados 200
computadores infectados em 150 lojas"
“Foi constatado
que esta campanha de
fraude contra softwares que capturam transações eletrônicas
contava com nove servidores usados por 10 operadores distintos, os quais podem
ser indivíduos ou grupos. Até o momento, não há indícios de que os cartões
roubados tenham sido usados em fraudes ou que tenham vazado em outros canais”,
explica a Tempest.
O
malware funciona roubando dados de cartões de crédito que fizessem compras em
sistemas de pontos de venda e em computadores de estabelecimentos comerciais,
todos infectados.
Por
exemplo, lojas de conveniência, postos de gasolina, lanchonetes e lojas em shopping
centers. Em apenas uma rede de restaurantes de fast food foram identificados
200 computadores infectados em 150 lojas.
A
empresa afirma que ele está em operação desde 2017 e possui três propósitos:
manter persistência no alvo, monitorar entradas do teclado (keylogging) e
inspecionar o comportamento de um conjunto pré-determinado de processos.
A
Tempest alertou bancos e entidades de classe sobre a campanha maliciosa, que já
devem trabalhar em medidas de contenção.
"Após
capturarem os dados de cartão de crédito, os cibercriminosos envolvidos no
golpe costumam negociar as informações em fóruns"
Além
do roubo de dados, existe a venda: após capturarem os dados de cartão de
crédito, os cibercriminosos envolvidos no golpe costumam negociar as
informações em fóruns. Ou seja, vale mais vender a informação do que utilizar o
dado para alguma compra direta.
“O
malware é instalado por meio da ativação de um arquivo executável
(actualização.exe) que, por sua vez, faz o download e executa outros três
arquivos (install.bat, vshost.exe e explorer32.exe). Os artefatos são do tipo
PE (Portable Executable). Ou seja, executáveis concebidos para ter
portabilidade em todas as versões do Windows, tanto na arquitetura 32bit quanto
64bit”, diz a Tempest. “O malware também faz o download de um arquivo texto
chamado atualiza.txt que contém dados do computador da vítima para checar se o
alvo foi previamente infectado, caso contrário é criado um diretório onde serão
armazenadas as informações capturadas no formato abaixo”.
- Para acompanhar
todos os detalhes técnicos do malware, acompanhe aqui
Fonte: Tempest
Nenhum comentário:
Postar um comentário