Apelidado de vSkimmer, o Trojan foi projetado para infectar computadores baseados em Windows que possuem leitores de cartões de pagamento embutidos, disse o pesquisador de segurança da McAfee, Chintan Shah, na quinta-feira (21/3) em um post no blog da empresa.
O malware foi detectado pelo sensor de rede da McAfee em 13 de fevereiro e está sendo anunciado em fóruns cibercriminosos como sendo melhor do que o Dexter - um malware PoS diferente, que foi descoberto em dezembro.
Como o vSkimmer age
Uma vez instalado no computador, o vSkimmer reúne informações sobre o sistema operacional - incluindo a versão, identificador GUID exclusivo, linguagem padrão, hostname e nome de usuário ativo.
Estas informações são enviadas para o servidor de controle e comando em formato codificado como parte de todas as solicitações HTTP, e são usadas pelos crackers para controlar as máquinas infectadas individualmente. O malware espera que o servidor responda com um comando "dlx" (baixar e executar) ou "upd" (atualizar).
O vSkimmer busca na memória de todos os processos em execução no computador infectado (exceto aqueles codificados em uma whitelist) por informações que correspondem a um padrão específico. Este processo foi projetado para encontrar e extrair dados "Track 2" do cartão da memória do processo associado com o leitor de cartão de crédito.
Dados "Track 2" referem-se a informações armazenadas na faixa magnética dos cartões e podem ser usadas para cloná-lo - a menos que o cartão de pagamento utilize o padrão EMV (chip e pin).
Dito isso, em um comunicado publicado no início deste mês em um fórum arbitrário, o autor do malware disse que o trabalho está sendo feito para adicionar suporte para cartões EMV e que "2013 será um ano quente".
Outros problemas
O malware também fornece um mecanismo de extração de dados offline. Quando uma conexão com a Internet não está disponível, o vSkimmer espera por um dispositivo USB com o nome do volume "KARTOXA007" para ser conectado ao computador infectado e, depois, copia um arquivo de log com os dados capturados, disse Shah.
Isso sugere que o vSkimmer foi projetado para também suportar operações fraudulentas de pagamento com cartão que se beneficiam de ajuda interna, além de roubos remotos.
O vSkimmer é outro exemplo de como a fraude financeira está evoluindo e como os Cavalos de Troia bancários estão mudando o foco de internet banking de computadores de usuários individuais para terminais de pagamento de cartões, disse Shah.
Outros problemas
O malware também fornece um mecanismo de extração de dados offline. Quando uma conexão com a Internet não está disponível, o vSkimmer espera por um dispositivo USB com o nome do volume "KARTOXA007" para ser conectado ao computador infectado e, depois, copia um arquivo de log com os dados capturados, disse Shah.
Isso sugere que o vSkimmer foi projetado para também suportar operações fraudulentas de pagamento com cartão que se beneficiam de ajuda interna, além de roubos remotos.
O vSkimmer é outro exemplo de como a fraude financeira está evoluindo e como os Cavalos de Troia bancários estão mudando o foco de internet banking de computadores de usuários individuais para terminais de pagamento de cartões, disse Shah.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário