Menu

Flokibot, um malware brasileiro atacando máquinas PDV

Kleber Carriello, consultor sênior da área de engenharia da Arbor Networks Kleber Carriello, consultor sênior da área de engenharia da Arbor Networks

Ameaça é de difícil identificação pelas empresas fabricantes de antivírus

Kleber Carriello (*) 

O FlokiBot, malware em franca atividade, voltado ao roubo de dados de cartão de crédito a partir das máquinas de ponto de venda (PDV), tem seu foco de atuação no Brasil, de longe o país mais afetado – com mais de 90% das exfiltrações verificadas. Não somente pela área de concentração de sua atividade, mas também por estarem em português brasileiro expressões utilizadas em códigos, como, por exemplo, “vírus nova bomba”, é bastante provável que o FlokiBot tenha sido desenvolvido por brasileiros. Há indícios de que um “ator” brasileiro esteja atuando como “conector” entre fóruns de hackitivismo internacional e “traduzindo” as técnicas discutidas lá para uso no Brasil. Além disso, Flokibot também é o apelido utilizado por um hacker, possivelmente brasileiro, em comunidades internacionais. 

O FlokiBot é uma variante do Zeus, um conhecido cavalo de Troia, identificado desde 2007, projetado para rodar em sistemas Windows e utilizado primordialmente com a finalidade de roubar informações financeiras. O FlokiBot compromete máquinas utilizadas em pontos de venda – os PDVs, maquininhas que comumente vemos em supermercados e lojas em geral quando realizamos pagamentos –, seja lendo o número do cartão ou apropriando-se dos dados da leitura de tarja magnética. Para se ter uma ideia da dimensão do problema, foi detectado que em uma campanha de oito dias o FlokiBot comprometeu 268 cartões de crédito, de diferentes bandeiras. 

Esse malware se infiltra nos sistemas PDV, por exemplo, por meio de softwares de gerência de rede utilizados para manutenção remota, ou mesmo por alguém com acesso físico ao sistema, que o instala, intencionalmente ou não, geralmente com um pendrive infectado. Uma outra possibilidade é um movimento lateral, em que a infecção chega indiretamente pela rede corporativa, a partir da máquina de alguém da empresa que sequer tenha ligação com os sistemas de leitura de cartão. 

No Brasil, o malware tem atuado criando botnets pequenas – tipicamente formadas por menos de 50 máquinas. Isso significa que o malware é bastante direcionado a alvos conhecidos e determinados. E significa também que não é fácil sua identificação pelas empresas fabricantes de antivírus, pois quanto menos disseminado é um malware, mais ele consegue passar despercebido dos pesquisadores e profissionais de segurança, tornando mais lenta também a reação a possíveis danos causados por ele. 

Assim, quem utiliza os sistemas PDV precisa estar atento à utilização de software de gerenciamento remoto e assegurar-se do uso de senhas “fortes”. Além disso, vale um cuidado redobrado quanto aos dispositivos usados por terceiros e empresas contratadas para fazer manutenção em seus sistemas, pois é muito comum a tática de infiltração por meio de computadores ou dispositivos de terceiros ligados à rede interna da empresa para realizar algum tipo de serviço – o que não é identificado pelos dispositivos de segurança de borda, como firewalls, IPS, etc. E, claro, contar com visibilidade acurada do tráfego da rede é de fundamental importância para a detecção de malware. 

(*) Consultor sênior da área de engenharia da Arbor Networks

Deixe um comentário

Certifique-se de preencher os campos indicados com (*). Não é permitido código HTML.

voltar ao topo
Info for bonus Review William Hill here.

Finanças

TI

Canais

Executivos Financeiros

EF nas Redes