MalumPoS: Trend Micro alerta para novo malware que ataca setores de hotelaria e varejo
Ameaça é configurável para que se possa adicionar novos alvos e outros sistemas de cartões de crédito
São Paulo, junho de 2015 – A Trend Micro, líder em segurança na era da nuvem, foi a primeira a descobrir o MalumPoS, uma nova ferramenta de ataque que os hackers podem reconfigurar para violar qualquer sistema de PDV que – queiram atingir. Atualmente, ele é designado para coletar dados de sistemas de pontos de vendas executados no Oracle® MICROS®, plataforma muito usada nos setores de hotelaria, alimentação, bebidas e varejo.
Segundo a Oracle,o MICROS é usado em mais de 330.000 estabelecimentos de clientes em todo o mundo, principalmente nos Estados Unidos. Se implementado com sucesso por um agente de ameaças, o “PoS RAM scraper” – como é conhecido – pode colocar várias empresas dos EUA, e seus clientes, em risco.
Em geral, os “PoS RAM scrapers”, como o MalumPoS foram projetados para extrair dados de cartões de crédito da memória RAM dos sistemas infectados. Cada vez que a banda magnética de um cartão de crédito é passada, o malware pode roubar dados armazenados, como o nome e a conta do proprietário do cartão. Esses dados podem ser extraídos e usados para clonar fisicamente os cartões de crédito ou em alguns casos, cometer transações fraudulentas, como compras online.
O MalumPoS foi feito para ser configurável. Isso significa que no futuro, o agente de ameaça pode mudar ou acrescentar outros processos ou alvos. Ele pode, por exemplo, configurar o MalumPoS para incluir o Radiant ou sistemas NCR Counterpoint PoS na sua lista de alvos. Com essa inclusão, as empresas que no futuro estiverem com esses sistemas em uso também estarão em risco.
Outras características notáveis
Comparado a outros PoS RAM scrapers que vimos no passado, essa ameaça MalumPoS, em especial, mostra algumas características interessantes:
Disfarce NVIDIA: Depois de instalado em um sistema, o MalumPoS se difarça como sendo o “NVIDIA Display Driver” ou estilizado para ser exibido como “NVIDIA Display Driv3r”. Apesar dos componentes típicos do NVIDIA não desempenharem partes importantes nos sistemas PDV, sua familiaridade para os usuários regulares fazem o malware parecer inofensivo.
· Sistemas-alvo: Além do MICROS da Oracle, o MalumPoS também tem como alvos o Oracle Forms, sistemas Shift4 e – usuários via Internet Explorer. Olhando para a base deusuários dessas plataformas listadas, podemos ver que uma grande parte é dos EUA
· Extração seletiva de cartões de crédito: O MalumPoS usa expressões habituais para peneirar os dados do PDV e localizar informações de cartões de crédito relevantes. Foi notada pela Trend Micro uma ameaça PDV mais antiga, chamada Rdasrv, demonstrar o mesmo comportamento. No caso do MalumPoS, ele seletivamente procura dados nos seguintes cartões: Visa, MasterCard, American Express, Discover e Diner’s Club.
Como já foi dito, o MalumPoS é desenhado para que um agente de ameaça ainda possa mudar ou acrescentar a essa lista mais sistemas e cartões de crédito-alvo.
Uma análise mais detalhada do MalumPoS, incluindo os indicadores e regras YARA, podem ser encontrados em nosso resumo técnico do MalumPoS.
Sobre a Trend Micro
A Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite www.trendmicro.com.
Informações sobre a Trend Micro para a imprensa:
RMA Comunicação
Cecília Ferrarezzi (cecilia.ferrarezzi@rmacomunicacao.com.br) – (11) 2244-5967
Sofia Lebrón (sofia.lebron@agenciarma.com.br) – (11) 2244-5912