Visa revela sinais de malware para máquinas PoS (Point of Sell)

De acordo com um alerta de segurança publicado na semana passada, os ataques ocorreram em maio e junho de 2020, respectivamente.

“Em maio e junho de 2020, respectivamente, o Visa Payment Fraud Disruption (PFD) analisou amostras de malware recuperadas de compromissos independentes de dois comerciantes norte-americanos.” lê o alerta de segurança VISA . ”Nesses incidentes, os criminosos atacaram os terminais de pontos de venda (POS) dos comerciantes em um esforço para coletar e exfiltrar dados de cartões de pagamento. Após a análise, o primeiro ataque foi atribuído à variante do malware TinyPOS e o segundo a uma mistura de famílias de malware de PoS, incluindo RtPOS , MMon (também conhecido como Kaptoxa , BlackPOS ) e PwnPOS. ”

O processador de pagamentos dos EUA investigou a violação de segurança e forneceu detalhes técnicos sobre o malware empregado nos ataques para permitir que outras empresas do setor de hospitalidade verifiquem a presença dos mesmos agentes de ameaça em suas redes.

No incidente de maio, os invasores comprometeram a rede de um comerciante de hospitalidade norte-americano com o malware TinyPOS POS. Os invasores direcionaram os funcionários do comerciante com uma campanha de phishing para obter credenciais para contas de usuário e foram capazes de assumir uma conta de administrador. Em seguida, os atores da ameaça usaram ferramentas administrativas legítimas para acessar o ambiente de dados do titular do cartão (CDE).

“Depois que o acesso ao CDE foi estabelecido, os atores implantaram um raspador de memória para coletar dados da conta de pagamento da faixa 1 e faixa 2 e, posteriormente, usaram um script de lote para distribuir o malware em massa na rede do comerciante para atingir vários locais e seus respectivos ambientes de POS . O raspador de memória coletou os dados do cartão de pagamento e gerou os dados em um arquivo de registro. ” continua o relatório. “No momento da análise, nenhuma rede ou funções de exfiltração estavam presentes na amostra. Portanto, os atores provavelmente removeriam o arquivo de log de saída da rede usando outros meios. ”

No segundo comprometimento, que ocorreu em junho, os agentes de ameaças empregaram três tipos diferentes de malware de POS. Os especialistas encontraram amostras de RtPOS, MMon e PwnPOS na rede da vítima.

“Embora menos se saiba sobre as táticas usadas pelos agentes de ameaça neste ataque, há evidências que sugerem que os agentes empregaram várias ferramentas de acesso remoto e dumpers de credenciais para obter acesso inicial, mover lateralmente e implantar o malware no ambiente de PDV. ” continua o relatório.

Os ataques recentes demonstram que os atores da ameaça continuam a visar os sistemas POS dos comerciantes para coletar dados de contas de pagamento com cartões presentes.

O relatório inclui os indicadores de comprometimento associados a ambos os ataques, é essencial compartilhar o relatório para evitar outros comprometimentos.

Fonte: https://securityaffairs.co/wordpress/109072/cyber-crime/visa-hospitality-merchants-hack.html