POS Malware ou Malware de Ponto de Venda
Malware de Ponto de Venda: análise das campanhas MajikPOS e Treasure Hunter que infectaram dezenas de terminais
Você sabe o que é um Malware de Ponto de Venda?
Point-of-sale (POS) malware ou malware de ponto de venda é um tipo de programa malicioso feito para infectar terminais de ponto de venda com o intuito de roubar os dados de pagamento armazenados na tarja magnética do verso dos cartões.
Esse tipo de malware tem se tornado menos popular graças aos mecanismos de proteção acoplados aos sistemas de processamento de cartões de crédito modernos na maioria dos países. Mas, atenção, ele ainda vive! E ainda representa uma ameaça severa para pessoas e negócios em regiões onde os cartões de crédito com tarja magnética são usados como o meio de pagamento principal. Um desses países é o EUA, que permanece um alvo desejável para agentes de ameaça com esse modus operandi.
A descoberta
Em 19 de abril de 2022 o Grupo de Inteligência Cibernética chamado Group-IB identificou um servidor C2 (Command and Control) do POS malware chamado MajikPOS. A análise do servidor revelou que ele foi pobremente configurado e a maneira como foi desenvolvido fornecia uma habilidade de extrair credenciais roubadas para análises futuras.
O Group-IB analisou o servidor e estabeleceu que ele também hospeda um painel administrativo C2 de outro POS malware chamado Treasure Hunter (caçador de tesouro), o qual é também utilizado para coletar dados de cartão de crédito comprometidos.
Após analisar a infraestrutura maliciosa, pesquisadores Group-IB recuperaram informação sobre os dispositivos infectados e os cartões de crédito comprometidos como resultado dessa campanha.
O lucro para esses agentes maliciosos é alto. Houve um roubo de mais de 167.000 registros de pagamento, principalmente dos EUA. De acordo com as estimativas do Group-IB, os agentes poderiam fazer pelo menos uns 3.340.000 de dólares se eles simplesmente decidissem os depósitos de cartões comprometido em fóruns duvidosos.
Aproveitando o assunto de malwares que agem em pontos de venda, não deixe de conferir a chamada da equipe LGPD da ALIX Tecnologia e fique atento às nossas redes sociais para o assunto deste mês: BLACK FRIDAY!O cenário atual dos POS malwares
Conforme apontado no início do texto, os POS malware tornaram-se uma ferramenta pouco usada, tendo como maior razão as medidas de segurança implementadas em equipamentos de pontos de venda modernos. Mais e mais agentes de ameaça do segmento dos cartões estão mudando para os “farejadores de JavaScript”; o objetivo desses é coletar todas as informações de texto possíveis sobre cartões (números de cartões de banco, datas de validade, nome dos proprietários, endereços, CVVs) de sites de eCommerce. Poucos criminosos cibernéticos estão voltados para a coleta de informações armazenadas nas tarjas magnéticas dos cartões de banco.
Como o POS malware funciona
Devido aos mecanismos de proteção implantados no setor de processamento de pagamentos, o POS malware tem alguns recursos e limitações distintos.
Um destes mecanismos é a criptografia de dados implementada durante a maioria das fases do processo de pagamento. A descriptografia ocorre apenas na memória RAM do dispositivo de ponto de venda, na qual os detalhes de pagamento confidenciais estão armazenados como um texto simples. Isso tornou a memória RAM o maior alvo para o POS malware. O processo de extrair dados de pagamento confidenciais de cartões de pagamento é chamado de "raspagem de RAM". Quase todas as variedades de POS malware têm uma funcionalidade semelhante de extração de dados de cartão, mas métodos diferentes para manter a persistência em dispositivos infectados, extração e processamento de dados. Vamos dar uma olhada nos perfis de MajikPOS e Treasure Hunter.
MajikPOS
O malware MajikPOS apareceu no início de 2017, quando foi visto pela primeira vez visando dispositivos POS (ponto de venda) nos EUA e Canadá.
Captura de tela do perfil do MajikPOS do Group-IB de Inteligência Cibernética
Em 18 de julho de 2019, um anúncio sobre a venda do código-fonte para o MajikPOS (também conhecido como MagicPOS) foi postado no fórum de underground "exploit[.]in" pelo usuário cartonash. os agentes de ameaça também ofereceram vender o código-fonte de uma loja usada para vender dumps (dumps ou despejos de banco de dados são estruturas de tabela ou dados de um banco de dados) coletados pelo malware.
Captura de Tela do anúncio do Group-IB de Inteligência Cibernética
Desde então, o MajikPOS tem circulado na Dark Web, o que dificulta atribui-lo a um agente de ameaça em particular.
Baseado nos artefatos obtidos enquanto analisavam a infraestrutura maliciosa descoberta, os pesquisadores do Group-IB concluíram que os operadores de malware usaram, inicialmente, uma variante do Treasure Hunter, mas depois aumentaram seu arsenal com um malware mais avançado, nomeado MajikPOS.
O que o MajikPOS tinha a mais
Um painel com apelo visual mais atrativo;
Um canal de comunicação criptografado com C2;
Logs mais estruturados;
As tabelas de banco de dados do MajikPOS contêm informações sobre a geolocalização dos dispositivos infectados, nome do sistema operacional e número de identificação do hardware.
Já os logs do Treasure Hunter continham, basicamente, gravações sobre os processos rodando num sistema operacional ou dispositivo dos quais os dados foram roubados, junto com os nomes deles.
Captura de Tela dos logs do painel do Treasure Hunter (tabela de "faixas")
A cadeia de ação do ataque
A típica cadeia de ação de um ataque envolvendo MajikPOS inicia escaneando à procura de um VNC (Virtual Network Computing) e portas RPD (Remote Desktop Protocol) fracamente guarnecidas ou abertas. Quando tais alvos são identificados, os atacadores forçam sua entrada no sistema. É importante ressaltar que máquinas infectadas podem ser compradas de "quebradores de acesso inicial" em fóruns clandestinos. O MajikPOS coleta informação de cada vítima e usa vários módulos para escanear máquinas que hospedam registros de pagamentos de pontos de venda.
Treasure Hunter
O painel de comando e controle do malware Treasure Hunter também foi encontrado funcionando no mesmo servidor. O Treasure Hunter é um POS malware que foi detectado pela primeira vez em 2014. O principal atributo é a "raspagem de RAM" (conforme explicamos mais acima, no texto).
Captura de Tela do perfil do Treasure Hunter do Group-IB Inteligência Cibernética
A cadeia de ação do ataque
As fases da cadeia de ação são similares às do MajikPOS. Após infectar um terminal de ponto de venda, o terminal enumera os processos que estão rodando, extrai toda informação de cartão de pagamento disponível da memória e passa essa informação a um servidor C2 (Command and Control).
De onde veio o nome ?
"Treasure Hunter" foi nomeado a partir de uma informação que aparecia em seu código:
C:\\Users\\Admin\\documents\\visualstudio2012\\Projects\\treasureHunter\\Release\\treasureHunter.pdb
Sobre o desenvolvedor
Treasure Hunter foi desenvolvido por um agente de ameaça que usa o nickname Jolly Roger.
Jolly Roger é conhecido por desenvolver o malware para um grupo chamado Bearslnc, o qual tem operado um fórum clandestino de arquivos de pagamento roubados.
Análise da infraestrutura maliciosa
O ponto inicial de análise foi um servidor C2 descoberto pelo Goup-IB em 19 de abril de 2022:
Captura de Tela da ferramenta de análise do Group-IB Inteligência Cibernética
Ao investigar mais, o Time de Monitoramento Botnet do Group-IB descobriu um segundo painel de malware rodando neste host, o qual é usado para operar outro POS malware chamado Treasure Hunter!
Captura de Tela da página de login do painel do malware Treasure Hunter
Ambos os painéis desses malwares contêm informações sobre dumps (despejos: estruturas de tabela ou dados de um banco de dados) roubados e dispositivos de ponto de venda infectados. Durante a investigação, os especialistas do Group-IB analisaram cerca de 77.400 desses "despejos" de cartões exclusivos do painel MajikPOS e cerca de 90.000 do painel Treasure Hunter. Dado que o malware permanece ativo no momento da redação deste blog, o número de vítimas continua crescendo. A equipe do Group-IB compartilhou suas descobertas com uma organização de compartilhamento de ameaças financeiras com sede nos EUA e LE dentro da unidade.
A maioria dos cartões roubados do painel do malware MajikPOS foram emitidos por bancos dos EUA.
A análise revelou que a maioria dos terminais POS infectados com MajikPOS também estão localizados nos EUA. A distribuição de dispositivos infectados por estado/cidade (identificados por seus endereços IP) é mostrada abaixo:
De acordo com dados do Group-IB, o mercado de despejos (dumps) de cartões comprometidos entre abril de 2021 e abril de 2022 totalizou US$ 908.713.251. Dado o quão raros são e para quantas atividades fraudulentas podem ser usados, os dumps de cartão geralmente são mais caros do que os dados de texto do cartão (também conhecidos como CC). O preço médio de um despejo de cartão foi de US$ 20.
Conclusão e recomendações
Como mostra a pesquisa, os malwares de ponto de venda continuam sendo uma ameaça significativa para o setor de pagamentos como um todo e para empresas separadas que ainda não implementaram as práticas de segurança mais recentes. É muito cedo para anular o POS malware. Embora um dump (despejo) em si não possa ser usado para fazer compras on-line, os fraudadores que compram esses dados podem sacar registros roubados. Se a autoridade emissora do cartão não detectar a violação prontamente, os criminosos podem produzir cartões clonados (“plástico branco”) e sacar dinheiro de caixas eletrônicos ou usar os cartões clonados para compras pessoais ilícitas. Ao monitorar constantemente fóruns clandestinos em busca de registros pessoais e de pagamentos comprometidos pertencentes a seus clientes, bancos e organizações financeiras podem bloquear rapidamente cartões roubados e mitigar riscos e danos adicionais.
Como proteger-se
Os pesquisadores do Group-IB prepararam uma lista de recomendações para mitigar a ameaça e ajudar a detectar melhor o malware MajikPOS e Treasure Hunter:· Implemente uma política de senha rígida;
· Instale atualizações de software em tempo hábil;
· Aplique soluções de defesa de rede;
· Use listas de permissões e firewalls.