Tempest identifica fraude que capturou dados de mais de 2 milhões de cartões de pagamento

Malware foi instalado em 2.600 pontos de venda de estabelecimentos comerciais em todo o Brasil

Tempest Security
May 24 · 18 min read

A campanha

Na comunidade de segurança, é comum considerar um conjunto de ataques que utilizam uma mesma ameaça durante um período de tempo como uma “campanha”. Geralmente atacantes usam as mesmas táticas e ferramentas até o ataque ser inviabilizado por contramedidas desenvolvidas por empresas de segurança ou instituições governamentais. Quando isso acontece, os criminosos recombinam ou evoluem seus métodos de ataque de modo a evitar serem detectados novamente e, assim, o ciclo se reinicia. Campanhas mais sofisticadas, capazes de se transformar com o tempo, ganhando novas características e ferramentas, podem expandir seu ciclo de vida por anos.

Infecção

O malware é instalado por meio da ativação de um arquivo executável (actualização.exe) que, por sua vez, faz o download e executa outros três arquivos (install.bat, vshost.exe e explorer32.exe). Os artefatos são do tipo PE (Portable Executable). Ou seja, executáveis concebidos para ter portabilidade em todas as versões do Windows, tanto na arquitetura 32bit quanto 64bit.

Trecho do arquivo atualiza.txt com os dados do computador e do usuário logado
Trecho do código com referência ao arquivo down.exe

Comportamento da Ameaça

Como mencionado anteriormente, a ameaça foi desenvolvida com baixo nível de sofisticação. Seus desenvolvedores optaram por construí-la usando o .NET Framework, que facilita o processo de desenvolvimento, mas não oferece camadas adicionais para a proteção do código.

Trecho do install.bat
Trecho do código que faz o parser dos cartões

Servidores

Os pesquisadores da Tempest identificaram nove servidores ligados a essa campanha. Um deles era usado como repositório dos arquivos do malware e os outros oito tinham a função de armazenar os dados que partem de mais de 2.600 sistemas infectados.

Tela desenvolvida para o operador inserir sua senha de acesso ao repositório
Listagem das máquinas infectadas vinculadas a um operador

Vítimas

Campanhas como esta fazem vítimas entre consumidores, bancos fabricantes de software e comerciantes. Porém, os pesquisadores da Tempest identificaram uma tendência de ataque a estabelecimentos que, mesmo fazendo parte de grandes redes, possuem lojas pequenas e médias.

A indústria da fraude

Os dados capturados nessa campanha são os que compõem a “Trilha 2” dos cartões, conforme padrão estabelecido pela ABA (American Bankers Association) — trata-se de uma forma de organizar os dados que é usada por todos os sistemas envolvidos no processo de pagamento. Mais especificamente, a trilha 2 é formada pelos seguintes dados:

  • Número de Conta Primário, o número do cartão — até 19 caracteres
  • Separador: um caractere (frequentemente “=”)
  • Código de País: três caracteres
  • Data de vencimento ou separador: quatro caracteres ou um caractere
  • Informações livres: número de caracteres até completar a capacidade da trilha (40 caracteres no total)
  • Sinal de Fim: um caractere (frequentemente “?”)
  • Caractere de controle (LRC): um caractere
Anúncio de venda de trilhas de cartão em grupo do Skype
Anúncio no Facebook de ferramenta para testar cartões enriquecendo as bases

Recomendações

Este tipo de incidente costuma a trazer inconveniência, prejuízos e sanções para as diversas entidades que fazem parte do ecossistema de pagamentos com cartões.


IOCs

Processos Afetados

ADMSA

Domínios

workinmemory[.]com (criado em 19–06-2017)

Artefatos

MD5

2bb1eacaa0aa4865a3d538d8876312ea

SHA1

fce185dd2afad573e62974d33207cbbd60fd7a32

SHA256

76bfea449a7f6e9e19ce36d147f287a7cac65063

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence

75

75 claps
Tempest Security

Written by

Empresa líder no mercado brasileiro de segurança da informação e combate a fraudes digitais, atuando desde o ano 2000.

SideChannel-BR

Notícias e análises sobre segurança da informação produzidas pela equipe e por amigos da Tempest Security Intelligence