A Arbor Networks, divisão de segurança da NETSCOUT, anuncia que sua equipe de engenharia e resposta a ameaças (ASERT – Security Engineering & Response Team) detectou e publicou resultado de suas pesquisas sobre a atuação do malware FlokiBot dirigida a máquinas para pagamento com cartão (PDV) no Brasil.
A primeira informação da Arbor sobre o FlokiBot data de outubro de 2016, e aponta que o cavalo de Troia FlokiBot, derivado do Zeus, estava sendo vendido em fóruns da dark web ao preço de mil dólares – um alto preço nesse mercado. Nessa ocasião, o ASERT observou novos recursos, incluindo protocolo de comando e controle (C2) modificado, funcionalidade de ataque DDoS e de leitura de memória de cartão de crédito.
Nas últimas semanas, o ASERT detectou uma campanha FlokiBot especificamente relacionada a um C2 voltado particularmente a alvos brasileiros e compreendendo máquinas PDV e sistemas utilizados no processamento de cartões de crédito. No Brasil, o malware opera criando pequenas botnets – tipicamente formadas por menos de 50 máquinas comprometidas.
O baixo número de equipamentos infectados para realizar o ataque revela um esquema com alvos determinados, ao invés de uma distribuição generalizada do malware por meio de propaganda web ou por mecanismos de fornecimento de kits como commodities. E quanto menos difundido o malware, menores as chances de ele chamar atenção de equipes de segurança, e, por conseguinte, de ser descoberto.
