Trend Micro alerta para novo malware MalumPoS: que ataca setores de hotelaria e varejo

0

A Trend Micro foi a primeira a descobrir o MalumPoS, uma nova ferramenta de ataque que os hackers podem reconfigurar para violar qualquer sistema de PDV que – queiram atingir. Atualmente, ele é designado para coletar dados de sistemas de pontos de vendas executados no Oracle MICROS, plataforma muito usada nos setores de hotelaria, alimentação, bebidas e varejo.

Segundo a Oracle, o MICROS é usado em mais de 330 mil estabelecimentos de clientes em todo o mundo, principalmente nos Estados Unidos. Se implementado com sucesso por um agente de ameaças, o "PoS RAM scraper" – como é conhecido – pode colocar várias empresas dos EUA, e seus clientes, em risco.

Em geral, os "PoS RAM scrapers", como o MalumPoS foram projetados para extrair dados de cartões de crédito da memória RAM dos sistemas infectados. Cada vez que a banda magnética de um cartão de crédito é passada, o malware pode roubar dados armazenados, como o nome e a conta do proprietário do cartão. Esses dados podem ser extraídos e usados para clonar fisicamente os cartões de crédito ou em alguns casos, cometer transações fraudulentas, como compras online.

O MalumPoS foi feito para ser configurável. Isso significa que no futuro, o agente de ameaça pode mudar ou acrescentar outros processos ou alvos. Ele pode, por exemplo, configurar o MalumPoS para incluir o Radiant ou sistemas NCR Counterpoint PoS na sua lista de alvos. Com essa inclusão, as empresas que no futuro estiverem com esses sistemas em uso também estarão em risco.

Outras características

Comparado a outros PoS RAM scrapers que vimos no passado, essa ameaça MalumPoS, em especial, mostra algumas características interessantes:

Disfarce NVIDIA: Depois de instalado em um sistema, o MalumPoS se difarça como sendo o "NVIDIA Display Driver" ou estilizado para ser exibido como "NVIDIA Display Driv3r". Apesar dos componentes típicos do NVIDIA não desempenharem partes importantes nos sistemas PDV, sua familiaridade para os usuários regulares fazem o malware parecer inofensivo.

  • Sistemas-alvo: Além do MICROS da Oracle, o MalumPoS também tem como alvos o Oracle Forms, sistemas Shift4 e – usuários via Internet Explorer. Olhando para a base deusuários   dessas plataformas listadas, podemos ver que uma grande parte é dos EUA
  • Extração seletiva de cartões de crédito: O MalumPoS usa expressões habituais para peneirar os dados do PDV e localizar informações de cartões de crédito relevantes.  Foi notada pela Trend Micro uma ameaça PDV mais antiga, chamada Rdasrv, demonstrar o mesmo comportamento. No caso do MalumPoS, ele seletivamente procura dados nos seguintes cartões: Visa, MasterCard, American Express, Discover e Diner's Club.

O MalumPoS é  desenhado para que um agente de ameaça ainda possa mudar ou acrescentar a essa lista mais sistemas e cartões de crédito-alvo.