segunda-feira, 25 de março de 2013

Malware vSkimmer tem como alvo sistemas de pontos de venda

Um novo malware personalizado vendido no mercado negro da Internet está sendo usado para coletar dados de pagamento de cartões de sistemas de ponto de venda (PoS), de acordo com pesquisadores da empresa de segurança McAfee.

Apelidado de vSkimmer, o Trojan foi projetado para infectar computadores baseados em Windows que possuem leitores de cartões de pagamento embutidos, disse o pesquisador de segurança da McAfee, Chintan Shah, na quinta-feira (21/3) em um post no blog da empresa.

O malware foi detectado pelo sensor de rede da McAfee em 13 de fevereiro e está sendo anunciado em fóruns cibercriminosos como sendo melhor do que o Dexter - um malware PoS diferente, que foi descoberto em dezembro.

Como o vSkimmer age

Uma vez instalado no computador, o vSkimmer reúne informações sobre o sistema operacional - incluindo a versão, identificador GUID exclusivo, linguagem padrão, hostname e nome de usuário ativo.

Estas informações são enviadas para o servidor de controle e comando em formato codificado como parte de todas as solicitações HTTP, e são usadas pelos crackers para controlar as máquinas infectadas individualmente. O malware espera que o servidor responda com um comando "dlx" (baixar e executar) ou "upd" (atualizar).

O vSkimmer busca na memória de todos os processos em execução no computador infectado (exceto aqueles codificados em uma whitelist) por informações que correspondem a um padrão específico. Este processo foi projetado para encontrar e extrair dados "Track 2" do cartão da memória do processo associado com o leitor de cartão de crédito.

Dados "Track 2" referem-se a informações armazenadas na faixa magnética dos cartões e podem ser usadas para cloná-lo - a menos que o cartão de pagamento utilize o padrão EMV (chip e pin).
Dito isso, em um comunicado publicado no início deste mês em um fórum arbitrário, o autor do malware disse que o trabalho está sendo feito para adicionar suporte para cartões EMV e que "2013 será um ano quente".

Outros problemas

O malware também fornece um mecanismo de extração de dados offline. Quando uma conexão com a Internet não está disponível, o vSkimmer espera por um dispositivo USB com o nome do volume "KARTOXA007" para ser conectado ao computador infectado e, depois, copia um arquivo de log com os dados capturados, disse Shah.

Isso sugere que o vSkimmer foi projetado para também suportar operações fraudulentas de pagamento com cartão que se beneficiam de ajuda interna, além de roubos remotos.

O vSkimmer é outro exemplo de como a fraude financeira está evoluindo e como os Cavalos de Troia bancários estão mudando o foco de internet banking de computadores de usuários individuais para terminais de pagamento de cartões, disse Shah.
Fonte: IDG Now!

Nenhum comentário: