0
0
Em um alerta de segurança publicado na quinta-feira, o processador de pagamentos dos EUA Visa revelou que dois comerciantes de hospitalidade norte-americanos foram hackeados e tiveram seu sistema infectado com malware de ponto de venda (PDV) no início deste ano.
O malware POS foi projetado para infectar sistemas Windows, procurar aplicativos pos e, em seguida, pesquisar e monitorar a memória do computador para obter detalhes do cartão de pagamento que estão sendo processados dentro dos aplicativos de pagamentos POS.
“Em maio e junho de 2020, respectivamente, o Visa Payment Fraud Disruption (PFD) analisou amostras de malware recuperadas dos compromissos independentes de dois comerciantes norte-americanos”, disse a Visa.
O processador de pagamentos dos EUA não nomeou nenhuma das duas vítimas devido a acordos de não divulgação envolvidos na investigação dos incidentes.
A Visa publicou na quinta-feira um alerta de segurança [PDF] com uma descrição das duas violações de segurança e do malware usado nos ataques, a fim de ajudar outras empresas do setor de hospitalidade a digitalizar suas redes em busca de indicadores de compromisso.
Hack de junho: Hackers usaram três diferentes cepas de malware POS
Dos dois incidentes, o segundo ocorrido em junho é o mais interessante, do ponto de vista da resposta a incidentes (IR).
A Visa disse que encontrou três cepas diferentes de malware pos na rede de vítimas — ou seja, RTPOS, MMon (também conhecido como Kaptoxa)e PwnPOS.
A razão pela qual a gangue de malware implantou três cepas de malware é desconhecida, mas pode ser que os atacantes queriam ter certeza de obter todos os dados de pagamento de diferentes sistemas.
A Visa, que também fornece serviços de resposta a incidentes em violações relacionadas a crimes financeiros, disse que os invasores invadiram a rede da empresa de hospitalidade, “empregaram ferramentas de acesso remoto e dumpers de credenciais para obter acesso inicial, mover-se lateralmente e implantar o malware no ambiente pos”.
O processador de pagamentos não foi capaz de determinar como os invasores invadiram a rede da empresa em primeiro lugar.
Maio hack: O ponto de entrada era um e-mail de phishing
Eles foram, no entanto, capazes de determinar o ponto de entrada no primeiro hack, que ocorreu em maio.
“O acesso inicial à rede mercante foi obtido por meio de uma campanha de phishing que teve como alvo funcionários do comerciante. Contas de usuários legítimas, incluindo uma conta de administrador, foram comprometidas como parte deste ataque de phishing e foram usadas pelos atores de ameaças para fazer login no ambiente do comerciante. Os atores então utilizaram ferramentas administrativas legítimas para acessar o ambiente de dados do titular do cartão (CDE) dentro da rede do comerciante.
“Uma vez estabelecido o acesso ao CDE, os atores implantaram um raspador de memória para coletar dados da conta de pagamento track 1 e rastrear 2, e mais tarde usaram um script em lote para implantar o malware em massa em toda a rede do comerciante para atingir vários locais e seus respectivos ambientes de PDV. O raspador de memória colheu os dados do cartão de pagamento e erou os dados em um arquivo de registro. No momento da análise, não havia funções de rede ou exfiltração dentro da amostra. Portanto, os atores provavelmente removeriam o arquivo de registro de saída da rede usando outros meios.”
O malware POS usado neste incidente foi identificado como uma versão da cepa TinyPOS.
Os dois ataques recentes mostram que, apesar da recente ascensão e atenção que os incidentes de espionagem na web (magecart) e ransomware estão entrando na mídia, as gangues de crimes cibernéticos não abandonaram o alvo dos sistemas de PDV.
“Os recentes ataques exemplificam o interesse contínuo dos atores de ameaças em direcionar sistemas de PDV mercantes para coletar dados de contas de pagamento de cartão”, disse Visa.
FONTE: ZDNET