A empresa de cibersegurança Tempest descobriu uma campanha de infecção via malware que já roubou dados de 2,3 milhões de cartões de crédito em 2,6 mil sistemas no Brasil — esse número pode ser ainda maior, segundo a empresa.
Em apenas uma rede de restaurantes de fast food foram identificados 200 computadores infectados em 150 lojas
“Foi constatado que esta campanha de fraude contra softwares que capturam transações eletrônicas contava com nove servidores usados por 10 operadores distintos, os quais podem ser indivíduos ou grupos. Até o momento, não há indícios de que os cartões roubados tenham sido usados em fraudes ou que tenham vazado em outros canais”, explica a Tempest.
O malware funciona roubando dados de cartões de crédito que fizessem compras em sistemas de pontos de venda e em computadores de estabelecimentos comerciais, todos infectados. Por exemplo, lojas de conveniência, postos de gasolina, lanchonetes e lojas em shopping centers. Em apenas uma rede de restaurantes de fast food foram identificados 200 computadores infectados em 150 lojas.
A empresa afirma que ele está em operação desde 2017 e possui três propósitos: manter persistência no alvo, monitorar entradas do teclado (keylogging) e inspecionar o comportamento de um conjunto pré-determinado de processos.
A Tempest alertou bancos e entidades de classe sobre a campanha maliciosa, que já devem trabalhar em medidas de contenção.
Após capturarem os dados de cartão de crédito, os cibercriminosos envolvidos no golpe costumam negociar as informações em fóruns
Além do roubo de dados, existe a venda: após capturarem os dados de cartão de crédito, os cibercriminosos envolvidos no golpe costumam negociar as informações em fóruns. Ou seja, vale mais vender a informação do que utilizar o dado para alguma compra direta.
“O malware é instalado por meio da ativação de um arquivo executável (actualização.exe) que, por sua vez, faz o download e executa outros três arquivos (install.bat, vshost.exe e explorer32.exe). Os artefatos são do tipo PE (Portable Executable). Ou seja, executáveis concebidos para ter portabilidade em todas as versões do Windows, tanto na arquitetura 32bit quanto 64bit”, diz a Tempest. “O malware também faz o download de um arquivo texto chamado atualiza.txt que contém dados do computador da vítima para checar se o alvo foi previamente infectado, caso contrário é criado um diretório onde serão armazenadas as informações capturadas no formato abaixo”.
- Para acompanhar todos os detalhes técnicos do malware, acompanhe aqui
Categorias