Um trojan infectou a NCR Corporation, potencialmente representando um risco de cadeia de suprimentos para clientes do popular ponto de venda e desenvolvedor de software ATM, disse o CEO da empresa de segurança cibernética Prevailion exclusivamente à SC Media.
O CEO da Prevailion, Karim Hijazi, identificou o malware como Lethic, uma velha ameaça de botnet que remonta aproximadamente a 2008. Embora tradicionalmente tenha sido usado para distribuir spam, tem recursos completos de trojan, incluindo acesso remoto, movimento lateral e download de cargas adicionais. Embora Lethic não seja novo na cena, Hijazi observou que muitas vezes esses malwares são reembalados para que as ferramentas antivírus convencionais não os detectem.
Hijazi disse que o Prevailion, que monitora comunicações maliciosas de comando e controle pela Internet, testemunhou mais de 180 dias de atividade de beacon C2 originada de um endereço IP rastreado para a NCR em Atlanta, onde fica a sede da empresa de tecnologia.
“Está acontecendo há um tempo incrivelmente longo, de nossa perspectiva … e parece que houve até um aumento em termos de frequência e cadência ultimamente”, disse Hijazi, observando que Prevailion contou aproximadamente 242.000 beacons C2 recebidos do endereço IP da NCR ao longo do curso da infecção.
“[I] t mudou consistentemente para um estado grave, da nossa perspectiva, porque … quanto mais tempo algo tem para persistir em um ambiente, mais grave realmente é, porque tem mais tempo para causar danos e tem mais portas que pode se abrir ”, continuou Hijazi.
Talvez a maior preocupação seja a possibilidade de que o trojan tenha comprometido a NCR de forma a espalhar malware para os clientes da empresa de US $ 6,92 bilhões – talvez por meio de atualizações de software de PDV ou ATM com trojan.
“Qualquer organização à qual eles possam estar conectados também pode ser afetada, então este é um cenário contagioso”, disse Hijazi. “Essa infecção poderia ir efetivamente deles para outra parte ou vice-versa – eles podem ter contraído de outras pessoas. Nós realmente não sabemos. A parte preocupante disso é que, obviamente, qualquer organização que compartilhe dados com alguém como a NCR pode correr o risco de ter esses dados roubados por meio dessas ferramentas. ”
Prevailion não alertou a NCR sobre a infecção, mas a SC Media entrou em contato com a empresa para divulgar o problema e solicitar comentários. O NCR não respondeu ao pedido no momento da publicação.
No início deste mês, a Prevailion relatou publicamente que também viu evidências de comprometimento da rede e infecção por malware na operadora de cruzeiros Carnival por um período que vai de 2 de fevereiro a 6 de junho de 2020.
Fonte: https://www.scmagazine.com/home/security-news/malware/exclusive-trojan-apparently-infects-ncr-posing-possible-supply-chain-risk
Foto: Jeffrey Greenberg / Universal Images Group via Getty Images)
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…