Fomos os primeiros a descobrir o MalumPoS, uma nova ferramenta de ataque que os agentes de ameaças podem reconfigurar para violar qualquer sistema de PDV que eles quiserem atingir. Atualmente, ele é feito para coletar dados de sistemas de pontos de vendas executados no Oracle® MICROS®, uma plataforma muito usada nos setores de hotelaria, alimentação, bebidas e varejo.
A Oracle diz que o MICROS é usado em mais de 330.000 estabelecimentos de clientes em todo o mundo. Grande parte das empresas que usam essa plataforma se concentra nos Estados Unidos. Se implementado com sucesso por um agente de ameaças, esse “PoS RAM scraper” pode colocar várias empresas de alto nível dos EUA, e seus clientes, em risco.
Em geral, os “PoS RAM scrapers”, como o MalumPoS foram projetados para extrair dados de cartões de crédito da memória RAM dos sistemas infectados. Cada vez que a banda magnética de um cartão de crédito é passada, o malware pode roubar dados armazenados, como o nome e a conta do proprietário do cartão. Esses dados podem ser extraídos e usados para clonar fisicamente os cartões de crédito ou para, em alguns casos, cometer transações fraudulentas, como compras online.
O MalumPoS foi feito para ser configurável. Isso significa que no futuro, o agente de ameaça pode mudar ou acrescentar outros processos ou alvos. Ele pode, por exemplo, configurar o MalumPoS para incluir o Radiant ou sistemas NCR Counterpoint PoS na sua lista de alvos. Com essa inclusão, as empresas que estiverem executando esses sistemas também estarão em risco.
Outras características notáveis
Comparado a outros PoS RAM scrapers que vimos no passado, essa ameaça MalumPoS, em especial, mostra algumas características interessantes:
- Disfarce NVIDIA: Depois de instalado em um sistema, o MalumPoS se difarça com sendo o “NVIDIA Display Driver” ou, como visto abaixo, estilizado para ser exibido como “NVIDIA Display Driv3r”. Apesar dos componentes típicos do NVIDIA não desempenharem partes importantes nos sistemas PDV, sua familiaridade para os usuários regulares fazem o malware parecer inofensivo.
Figura 1: Serviço de MalumPOS instalado
- Sistemas alvos: Além do MICROS da Oracle, o MalumPoS também tem como alvos o Oracle Forms, sistemas Shift4 e os acessados via Internet Explorer. Olhando para a base de usuários dessas plataformas listadas, podemos ver que uma grande parte é dos EUA.
- Extração seletiva de cartões de crédito: O MalumPoS usa expressões habituais para peneirar os dados do PDV e localizar informações de cartões de crédito relevantes. Vimos uma ameaça PDV mais antiga, chamada Rdasrv, demonstrar o mesmo comportamento. No caso do MalumPoS, ele seletivamente procura dados nos seguintes cartões: Visa, MasterCard, American Express, Discover e Diner’s Club.
Como já foi dito, o MalumPoS é configurável para que um agente de ameaça ainda possa mudar ou acrescentar a essa lista mais sistemas e cartões de crédito alvos.
Uma análise mais detalhada do MalumPoS, incluindo os indicadores e regras YARA, podem ser encontrados em nosso resumo técnico do MalumPoS.
Recomendações e Soluções
A Trend Micro agora detecta todos os binários pertinentes a essa ameaça. No caso de você ter um software de monitoramento de endpoint, como o Trend Micro Deep Discovery Endpoint Sensor, também estamos fornecendo um regra YARA para você poder procurar quaisquer indicadores relacionados. Você pode encontrá-la no nosso resumo técnico.
Para ver como você pode aprimorar mais sua postura de segurança, leia Defendendo-se Contra PoS RAM Scrapers: Atuais Tecnologias e Tecnologias de Última Geração (em inglês). Além disso, soluções específicas, como whitelisting, podem ser importantes nessas situações.
Continue acompanhando nosso blog, confira as melhores dicas de segurança e saiba como se proteger na rede! Algum insight sobre essa postagem? Deixe seu comentário abaixo ou fale com a gente no twitter @TrendMicroBR.
Artigo publicado originalmente por Jay Yaneza (Threats Analyst) em TrendLabs. Analises adicionais por Kenney Lu e insights por Numaan Huq e Kyle Wilhoit.
