Com o ano de 2016 completamente focado em ransomwares, podemos nos perdoar por achar que nada mais está acontecendo no mundo online do crime. Mas não se iluda, apesar de haver um grande interesse por parte dos criminosos, várias inovações e muitos investimentos em ransomware, outras formas rentáveis de crime cibernético não foram esquecidas.

Malwares de Pontos de Vendas, projetados para obter informações de cartões de crédito (e outras informações também) a partir de terminais de pagamento ao redor do mundo, continuam evoluindo e se propagando.

Em fevereiro deste ano, pesquisadores da Trend Micro encontraram uma evolução do FighterPOS, uma família de malwares de Ponto de Venda que apareceu pela primeira vez no Brasil em abril de 2015. Duas versões novas e “melhoradas”, Floki Intruder e TSPY_POSFIGHT.F, surgiram com um conjunto ampliado de recursos e uma população ampliada de vítimas. É possível que a característica mais alarmante deste novo recurso seja a rotina worm embutida no Floki Intruder, que permite que o malware enumere as unidades lógicas e libere cópias de si mesmo, com o autrun.inf associado usando ferramentas WMI. Isto significa que o novo FighterPOS pode se espalhar através da rede e infectar qualquer terminal de PDV disponível com muito pouco esforço. Também significa é claro que, quando um terminal infectado permanece em uma rede, a limpeza pode ser muito problemática. Fora isso, a nova versão também desativa os recursos padrões de firewall e segurança do Windows, assim como o Controle de Acesso do Usuário para solidificar seu domínio sobre a máquina. Parece que o desenvolvedor por trás desta versão mais recente também ampliou seu terreno de caça, historicamente brasileiro, tendo em vista que o FighterPOS também começou a atacar vítimas nos Estados Unidos. O TSPY_POSFIGHT.F parece ser uma versão mais leve do mesmo código base como Floki Intruder e FighterPOS.

Em junho, pela primeira vez nossa análise revelou o FastPOS, nomeado assim pois representa um malware de PDV que “destrói e captura”. O FighterPOS inclui rotinas tanto para registro de toques no teclado quanto para captura da RAM, visando informações sensíveis e dados de pagamentos com cartão. O grande diferencial de outro malware PDV é que os dados roubados não são gravados no disco ou armazenados em um servidor temporário de depósito, em vez disso são transmitidos imediatamente para o criminoso, assim que a tecla “Enter” for pressionada no terminal infectado. Esta transmissão ocorre por meio de um comando HTTP GET, talvez tentando perder-se no tráfego geral do navegador web da rede da vítima, invisível para todos, apenas com exceção de pesquisas mais específicas.

Outra característica incomum do FighterPOS é a sua validação dos dados roubados do cartão de débito e crédito. Um aspecto dos dados do cartão, que não é notado pelos titulares de cartão, mas processados por um terminal de PDV é algo chamado de Código de Serviço que determina como e onde o cartão pode ser utilizado, por exemplo, se pode ser usado internacionalmente, se pode ser usado para sacar dinheiro ou se é necessária uma senha. O FighterPOS interroga esses dados Código de Serviço, garantindo o roubo apenas de cartões de uso internacional e aqueles nos quais o uso do chip (se presente) não é obrigatório.

O FighterPOS parece ser projetado especificamente para redes sem uma grande pegada, talvez para pequenas empresas e empresários individuais que costumam acessar a internet através de um modem simples DSL numa rede local bem pequena.
Em ambos os casos, várias técnicas de proteção são possíveis, com controle de aplicativos de endpoint sendo talvez a mais apropriada em um ambiente POS. O Controle de Aplicativos permite que se crie uma lista somente dos aplicativos permitidos que estão autorizados a rodar em cada terminal. Isso impedirá que o malware seja instalado ou executado. Se os seus terminais de PDV estão em um ambiente com uma pegada maior, detecção de violações com base em rede e sandboxing também são tecnologias adequadas e viáveis.