taegetA empresa de segurança que trabalhou com o Serviço Secreto dos EUA para investigar a violação de dados que ocorreu na Target identificou o malware usado no ataque como sendo uma variação de um sofisticado Cavalo de Troia previamente projetado para roubar dados de sistemas Point-of-Sale (POS).

Em um relatório divulgado na semana passada, a iSight Partners identificou a ferramenta como Trojan.POSRAM, e a descreveu como um software que pode encontrar, armazenar e transmitir números de cartões de crédito e PIN de sistemas POS.

O Cavalo de Troia está sendo usado em uma cibercampanha “persistente, ampla e sofisticada”, apelidada de KAPTOXA, e tem como alvo “muitos operadores” de sistemas POS, disse a empresa.

Algumas organizações afetadas podem ainda não saber que foram comprometidas, ou que já perderam dados, disse o relatório da iSight. O documento não mencionou a Target como a empresa que foi investigada.

Tiffany Jones, autora do relatório, descreveu o malware POSRAM como uma versão personalizada do BlackPOS – um código malicioso que está disponível pelo menos desde fevereiro passado.

Da mesma forma que o BlackPOS, o POSRAM é projetado para roubar dados da tarja magnética do cartão, enquanto esses dados ficam armazenado temporariamente na memória do sistema POS logo depois de um cartão de crédito ou de débito ser passado no terminal.

Depois de infectar um sistema POS, o malware monitora os espaços de endereçamento de memória no dispositivo para obter informações específicas. Quando o malware encontra algo de seu interesse, ele salva os dados em um arquivo local e , em seguida, os transfere para os cibercriminosos em horários predefinidos. Em seguida, ele é codificado para apagar o arquivo local para não deixar rastro.

De acordo com Tiffany, pelo menos 75% do código do POSRAM é semelhante ao código do BlackPOS. O POSRAM difere nos métodos que utiliza para evitar a detecção por ferramentas antimalware, disse a pesqisadora, que é vice-presidente sênior de soluções de clientes e suporte da iSight.

Desafio extra para rastrear

Na época em que o código foi descoberto, ferramentas antivírus ainda não eram capazes de detectar o malware. “Este software contém um novo tipo de método de ataque que é capaz de subverter secretamente os controles de rede e táticas forenses comuns, ocultando todas as transferências de dados e execuções que podem ter sido executadas, tornando-o mais difícil de detectar”, disse o relatório iSight.

A pesquisa ainda está em andamento e, por conta disso, a iSight não pode revelar como os crackers conseguiram instalar o malware nos sistemas POS atacados, disse Tiffany.

No início do mês, a Target confirmou que dados sensíveis em 40 milhões de cartões de débito e crédito e outras informações pessoais de clientes, tais como e-mails, números de telefone e nomes completos de um adicional de 70 milhões de pessoas foram comprometidos em uma violação que ocorreu ao longo do dia de Ação de Graças.

Pelo menos três outros varejistas se acredita ter sido atingido pelo mesmo malware.

Fonte: INFO