A empresa de cibersegurança Tempest descobriu uma campanha de infecção via malware que já roubou dados de 2,3 milhões de cartões de crédito em 2,6 mil sistemas no Brasil — esse número pode ser ainda maior, segundo a empresa.
“Foi constatado que esta campanha de fraude contra softwares que capturam transações eletrônicas contava com nove servidores usados por 10 operadores distintos, os quais podem ser indivíduos ou grupos. Até o momento, não há indícios de que os cartões roubados tenham sido usados em fraudes ou que tenham vazado em outros canais”, explica a Tempest.
O malware funciona roubando dados de cartões de crédito que fizessem compras em sistemas de pontos de venda e em computadores de estabelecimentos comerciais, todos infectados. Por exemplo, lojas de conveniência, postos de gasolina, lanchonetes e lojas em shopping centers. Em apenas uma rede de restaurantes de fast food foram identificados 200 computadores infectados em 150 lojas.
A empresa afirma que ele está em operação desde 2017 e possui três propósitos: manter persistência no alvo, monitorar entradas do teclado (keylogging) e inspecionar o comportamento de um conjunto pré-determinado de processos.
A Tempest alertou bancos e entidades de classe sobre a campanha maliciosa, que já devem trabalhar em medidas de contenção.
Além do roubo de dados, existe a venda: após capturarem os dados de cartão de crédito, os cibercriminosos envolvidos no golpe costumam negociar as informações em fóruns. Ou seja, vale mais vender a informação do que utilizar o dado para alguma compra direta.
“O malware é instalado por meio da ativação de um arquivo executável (actualização.exe) que, por sua vez, faz o download e executa outros três arquivos (install.bat, vshost.exe e explorer32.exe). Os artefatos são do tipo PE (Portable Executable). Ou seja, executáveis concebidos para ter portabilidade em todas as versões do Windows, tanto na arquitetura 32bit quanto 64bit”, diz a Tempest. “O malware também faz o download de um arquivo texto chamado atualiza.txt que contém dados do computador da vítima para checar se o alvo foi previamente infectado, caso contrário é criado um diretório onde serão armazenadas as informações capturadas no formato abaixo”.
Fonte: Tecmundo
Imagem: Projetado pelo Freepik