Recentemente, a equipe de Threat Intelligence da Tempest identificou uma campanha de malware direcionada a? captura de dados de cartões de pagamento transacionados em sistemas de ponto de venda (PDV) em computadores de estabelecimentos comerciais (também conhecidos como TEFs). Essa campanha chamou a atenção pela alta volumetria de dados de cartões capturados, ainda que apresentando baixo nível de sofisticação técnica.
Ricardo Ulisses, da Tempest, diz que foi possível identificar 8 servidores que serviam de repositório das informações capturadas pelo malware. “Analisando estes servidores, entendemos que esta operação era controlada por, ao menos, 10 operadores diferentes que capturaram mais de 2,3 milhões de informações de cartões de crédito e débito, em pelo menos 2.600 sistemas em estabelecimentos comerciais em todo Brasil”, explica.
A empresa ressalta que, até o momento, não há indícios de que os cartões roubados foram usados em fraudes ou que vazaram em outros canais. Assim que identificou esta campanha, a Tempest conduziu um processo no qual reportou a ameaça a bancos, entidades de classe e outros membros da comunidade de segurança de modo que essas instituições pudessem tomar as medidas cabíveis em relação aos cartões e mitigar fraudes antes da divulgação do relatório.
“Nenhum dos malwares identificados nesta campanha utiliza técnicas que dificultem sua análise ou detecção por software antivírus, e já são detectados. Apesar disso, a Tempest esta? colaborando e compartilhando informações com parceiros de empresas de antivírus”, afirma Ulisses.
Apesar de não ser possível afirmar como o malware foi instalado em cada máquina, sabe-se que, conceitualmente, o golpe é simples e de baixa complexidade. O estágio inicial de infecção e? feito a partir de um arquivo executável com a função de descarregar e copiar outros três artefatos para o diretório %TEMP%. A partir deste ponto, se inicia a execução dos arquivos e o monitoramento dos processos de interesse.
O malware dispõe pelo menos de três funções genéricas principais, que consistem em criar persistência na inicialização do Sistema Operacional, acompanhar os registros realizados pela vítima por meio do teclado do computador infectado (não do pinpad – leitor de cartões utilizado para a realização de pagamentos – em si) e monitorar processos de interesse, em sua maioria relacionados a software PDV.
De acordo com a leitura do código-fonte da aplicação, constatou-se que a memória desses processos é monitorada em busca de vestígios de informações relacionadas a números de cartões de pagamento. Durante a análise, também foi localizado um registro de sistemas infectados pelo malware onde constam informações do computador da vítima, como NOME DO COMPUTADOR e NOME DO USUA?RIO logado na máquina no momento da infecção.
Dados de cartões transacionados nos computadores dos estabelecimentos infectados foram identificados e interceptados pelos cibercriminosos que operam a engenharia do malware, porém, as senhas desses cartões não foram capturadas.