Desde pelo menos fevereiro de 2021 até o dia 8 de setembro de 2022, os operadores de dois malwares específicos para terminais PDV (ponto-de-venda ou POS na sigla em inglês) roubaram mais de 167.000 registros de pagamento, principalmente dem varejistas dos EUA. De acordo com as estimativas do Group-IB, que descobriram o problema, esses cibercriminosos podem ganhar até US$ 3.340.000 se simplesmente decidirem vender os dados de cartões comprometidos em fóruns clandestinos.
Veja isso
Falhas em drivers permitem ataques a caixas eletrônicos e terminais PoS
Malware brasileiro ameaça pontos de venda
A descoberta foi feita em 19 de abril de 2022 pelo Group-IB Threat Intelligence: foi identificado um servidor de Comando e Controle (C2) do malware POS MajikPOS. A análise do C&C revelou que ele estava mal configurado e a forma como foi desenvolvido permitiu extrair credenciais. Os especialistas analisaram o servidor e concluíram que ele também hospeda um painel administrativo C2 de outro malware de PDV chamado Treasure Hunter, também usado para coletar dados de cartão de crédito.
Depois de analisar a infraestrutura maliciosa, os pesquisadores do Group-IB recuperaram informações sobre os dispositivos infectados e os cartões de crédito comprometidos como resultado dessa campanha.
O malware POS tornou-se uma ferramenta raramente usada, em grande parte como resultado da evolução das medidas de segurança implementadas nos modernos equipamentos POS. Cada vez mais os agentes de ameaças no setor de cartões estão mudando para sniffers JavaScript para coletar dados de texto de cartão (números de cartão bancário, datas de validade, nomes de proprietários, endereços, CVVs) de sites de comércio eletrônico. Poucos criminosos cibernéticos estão envolvidos na coleta de despejos (dados armazenados em tarjas magnéticas em cartões bancários). O servidor C2 que hospedou os painéis para as duas linhagens de malware se destaca pela considerável coleção de registros de pagamentos comprometidos.
O relatório completo está em “https://blog.group-ib.com/majikpos_treasurehunter_malware”