.
Os cibercriminosos usaram dois tipos de malware de ponto de venda (POS) para roubar os detalhes de mais de 167.000 cartões de crédito de terminais de pagamento. Se vendido em fóruns clandestinos, o carregamento pode render aos ladrões mais de US$ 3,3 milhões.
O servidor de comando e controle (C2) de back-end que opera o malware MajikPOS e Treasure Hunter permanece ativo, de acordo com Nikolay Shelekhov e Said Khamchiev do Group-IB, e “o número de vítimas continua crescendo”, eles disse essa semana.
A unidade de inteligência de ameaças da empresa de segurança identificou o servidor C2 em abril e determinou que os operadores roubaram informações de pagamento pertencentes a dezenas de milhares de titulares de cartões de crédito entre fevereiro de 2021 e 8 de setembro de 2022. Quase todas as vítimas são americanas com cartões de crédito emitidos por bancos americanos.
Após a descoberta, os pesquisadores entregaram as informações a uma organização de compartilhamento de ameaças com sede nos EUA, bem como a agências de aplicação da lei. Eles não atribuíram o malware a um grupo criminoso específico.
Os malwares MajikPOS e Treasure Hunter infectam terminais Windows POS e escaneiam os dispositivos para explorar os momentos em que os dados do cartão são lidos e armazenados em texto simples na memória. O Treasure Hunter, em particular, executa o chamado RAM scraping: ele analisa a memória dos processos em execução na caixa registradora para obter dados de tarja magnética recém-passados do cartão bancário de um comprador durante o pagamento. O MajikPOS também verifica PCs infectados em busca de dados de cartão. Essas informações são então enviadas de volta para o servidor C2 dos operadores de malware.
MajikPOS e caçador de tesouros
Das duas variedades de malware POS usadas nesta campanha, MajikPOS é a mais nova, visto pela primeira vez visando dispositivos POS em 2017. Os operadores de malware provavelmente começaram com o Treasure Hunter e depois o emparelharam com o MajikPOS mais recente devido aos recursos mais avançados deste último.
Isso inclui “um painel de controle visualmente mais atraente, um canal de comunicação criptografado com C2, [and] logs mais estruturados”, comparado ao Treasure Hunter, de acordo com o Group-IB. “As tabelas de banco de dados do MajikPOS contêm informações sobre a localização geográfica do dispositivo infectado, nome do sistema operacional e número de identificação do hardware.”
Para infectar uma loja com o MajikPOS, os criminosos geralmente começam com a varredura de redes em busca de serviços de desktop remoto VNC e RDP abertos e mal protegidos e, em seguida, forçam a entrada ou compram acesso ou credenciais para esses sistemas. O malware, uma vez instalado com privilégios suficientes, pode coletar informações de cartão de pagamento dos compradores dos terminais comprometidos.
Treasure Hunter apareceu pela primeira vez em 2014 antes do código fonte vazou em um fórum de língua russa. Seu uso principal é a raspagem de RAM e provavelmente é instalado da mesma maneira que o MajikPOS.
Hoje, tanto o MajikPOS quanto o Treasure Hunter podem ser comprados e vendidos em mercados nefastos.
Em uma investigação de meses de duração, o Group-IB analisou cerca de 77.400 despejos de cartão do painel MajikPOS e outros 90.000 do painel Treasure Hunter, escreveram os pesquisadores. Quase todos – 97% ou 75.455 – dos cartões comprometidos pelo MajikPOS foram emitidos por bancos dos EUA, com os 3% restantes distribuídos ao redor do mundo.
O painel do Treasure Hunter contou uma história semelhante com 96% (86.411) emitidos nos EUA.
Para colocar isso em contexto, o valor de mercado (negro) para despejos de cartões entre abril de 2021 e abril de 2022 atingiu US$ 908,7 milhões, de acordo com dados do Group-IB Threat Intelligence. “Dado o quão raros são e para quantas atividades fraudulentas podem ser usados, os dumps de cartão geralmente são mais caros do que os dados de texto do cartão (também conhecidos como CC)”, disseram Shelekhov e Khamchiev, acrescentando que o preço médio por despejo de cartão é de cerca de US$ 20. .
O malware POS tornou-se menos popular nos últimos anos, à medida que os sistemas de processamento de cartão de crédito evoluíram para combater o problema. A maioria dos fraudadores mudou para sniffers de JavaScript, que coletam números de cartão, datas de validade, nomes de proprietários, endereços e CVVs de sites de compras infectados.
Mesmo assim, o malware POS continua sendo uma “ameaça grave” para empresas e indivíduos onde os cartões de crédito representam o principal mecanismo de processamento de pagamentos, observam Shelekhov e Khamchiev. “Um desses países são os EUA, que continuam sendo um alvo desejável para os agentes de ameaças que procuram roubar depósitos de tarja magnética”, acrescentaram.
Há coisas que as empresas podem fazer para impedir infecções por malware POS. A implementação de uma política de senha rígida está no topo da lista, seguida pela instalação imediata de atualizações de software – sem grandes surpresas. Eles também sugerem que as empresas usem produtos de defesa de rede, firewalls e listas de permissões para impedir a entrada de invasores.
O que é uma boa maneira de dizer: proteja esse acesso remoto à área de trabalho. ®
.
