Malware Poseidon rouba dados de cartões de crédito em terminais

Por Redação | 23.03.2015 às 14:02

Um novo malware chamado de Poseidon pelos pesquisadores da Cisco Security Solutions (CSS) está roubando dados de cartões de pagamento em terminais de lojas do varejo. Como a maioria dos malwares de PDV (ponto de venda), o Poseidon aproveita-se da RAM dos terminais infectados para roubar as informações contidas em cartões de crédito ou outros cartões de pagamento.

Os dados que estão disponíveis em texto simples na memória dos terminais enquanto o software está realizando o processo de pagamento são vulneráveis e burlados pelo malware. Estes terminais não possuem segurança de criptografia e são alvos fáceis dos cibercriminosos.

Especialistas em segurança têm chamado a atenção para a utilização da tecnologia de criptografia end-to-end a fim de proteger o leitor de cartão dos terminais e, consequentemente, os dados processados ali. No entanto, a adesão desta tecnologia ainda permanece baixa.

Os pesquisadores identificaram três componentes de malware que provavelmente estão relacionados com o Poseidon. Seriam eles um keylogger, um carregador e um "raspador" de memória que também tem a funcionalidade de keylogger.

O keylogger foi desenvolvido para roubar credenciais e dados para o programa de acesso remoto LogMeIn. As senhas criptografadas são apagadas e perfis são armazenados no software. Isso força os usuários a digitá-los novamente para que os cibercriminosos possam ter acesso e capturá-los.

Uma vez que os criminosos conseguem o acesso ao terminal, eles instalam um componente conhecido como um carregador. Sua finalidade é criar chaves de registro que são necessárias para manter a infecção entre as reinicializações de sistema e fazer o download de outro arquivo chamado FINDSTR a partir de uma lista codificada de servidores C&C.

O FINDSTR é utilizado para encontrar linhas que correspondam aos números de cartões de pagamento na memória de processos em execução. "O malware só olha para sequências de números que começam com 6, 5, 4, com um comprimento de 16 dígitos (Discover, Visa, Mastercard) e 3 com um comprimento de 15 dígitos (Amex)", explicaram os pesquisadores da CSS.

O vírus verifica em seguida se as linhas capturadas são realmente números de cartões de crédito. Esse processo é realizado por meio de um algoritmo conhecido como fórmula Luhn. Após isso, os dados são levados para vários servidores de controle remoto.

Outra vantagem para os cibercriminosos é que o Poseidon se comunica diretamente com servidores externos e pode se atualizar automaticamente. Ele também possui defesas próprias contra engenharia reversa.

Via Cisco

Fonte: http://www.pcworld.com/article/2900552/new-malware-program-poseidon-targets-pointofsale-systems.html#tk.rss_all