Central de atendimento +55 (24) 2232-5850 - contato@future.com.br

Future

21 março 2018
adm.future
0
Categories: Blog, Segurança

Hackers roubam dados de 880 mil clientes de empresa de viagens dos EUA

Plataforma digital de reserva de viagens anunciou nesta terça-feira que identificou uma invasão que pode ter afetado informações de cartões de créditos de 880 mil usuários que fizeram compras no serviço entre 2016 e 2017, um problema já corrigido pela companhia.

A empresa estava investigando uma plataforma anterior à utilizada atualmente quando encontrou provas que sugeriam que um hacker invadiu o sistema e teve acesso a informações guardadas em dois sites. Especialistas, uma auditoria externa e a polícia foram chamados para ajudar a corrigir o problema, segundo a empresa.

De acordo com a companhia de viagens, os dados possivelmente roubados foram de clientes que usaram o serviço entre janeiro e a metade de junho de 2016 e a plataforma para parceiros entre janeiro de 2016 e dezembro de 2017. O site atual não foi afetado.

“O hacker pode ter tido acesso às informações pessoais de certas compras feitas nesses dois sites. O número de cartões de crédito envolvidos no incidente é de cerca de 880 mil”, explicou.

Os responsáveis pelo ataque também teriam obtido nomes completos, endereços, datas de aniversário, números de telefone, entre outros, das pessoas que utilizaram a Orbitz no período citado. A empresa, porém, não tem “provas concretas” de que esses dados foram roubados.

A empresa pediu desculpas pelo incidente e garantiu estar comprometida em manter a confiança de seus clientes. Os afetados pela invasão estão sendo notificados.

“Estamos oferecendo aos indivíduos afetados um ano de acompanhamento de crédito gratuito e serviços de proteção de identidade nos países nos quais eles estejam disponíveis”, explicou em nota.

A Future possui as melhores soluções e serviços para a manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: EpocaNegocios

Read More
20 março 2018
adm.future
0
Categories: Blog, Segurança

Ataque hacker mira informações da indústria marítima americana

Empresa de segurança divulgou algumas informações sobre sua investigação a respeito de um grupo de hackers de provável origem chinesa que está mirando as indústrias marítima e de engenharia americanas. Batizado de “TEMP.Periscope” e chamado por algumas outras empresas de “Leviathan”, é provável que o grupo tenha interesse nesses alvos por causa das disputas no Mar da China Meridional.

O TEMP.Periscope é um grupo de “APT” (sigla em inglês para Ameaça Avançada Persistente). São invasores que agem com objetivos específicos e contra alvos direcionados. Eles são diferentes dos criminosos que agem na internet e que visam os internautas em geral.

O grupo vem sendo rastreado desde 2013, mas ficou ocioso após as negociações do ex-presidente norte-americano Barack Obama com o presidente da China Xi Jinping em 2015. Os invasores voltaram à ativa no fim de 2017, com versões atualizadas de suas ferramentas de ataque.

O Mar da China Meridional é uma região disputada. Nele passam anualmente mercadorias avaliadas em bilhões de dólares e acredita-se existir grandes depósitos de gás e petróleo lá. Vietnã, Filipinas, Malásia, Brunei e Taiwan reivindicam algum controle sobre a região, mas a China vem construindo infraestrutura e tentando assumir o controle da área.

Os Estados Unidos voltaram a realizar patrulhas na região em 2007. Os americanos alegam que essa medida visa garantir a “liberdade de navegação”.

De acordo com a empresa de segurança, o tipo de informação buscada pelo TEMP.Periscope permitira a alguém responder perguntas como “qual é o alcance e a eficácia deste sistema de radar marinho?” ou “com quanta precisão um sistema pode detectar e identificar atividades no mar?” Essas informações dariam vantagem em negociações e atividades no Mar da China Meridional.

Além de empresas de engenharia e logística da indústria marítima, o grupo também atacou empresas dos setores de consultoria, alta tecnologia, saúde e imprensa. A maioria das vítimas é dos Estados Unidos, mas algumas também são europeias e uma é de Hong Kong. A empresa não confirma se todas essas empresas chegaram a ser invadidas — apenas que foi possível registrar tentativas de ataque. Também não foi informado o número total de vítimas.

Como outros grupos de APT, o TEMP.Periscope chega às vítimas usando “spear phishing”, ou seja, e-mails direcionados e redigidos especificamente para seus alvos. Esse tipo de mensagem costuma ser bastante convincente e é mais difícil de ser reconhecida como maliciosa. O grupo também tira proveito de brechas para incluir o instalador de vírus em documentos, dando um ar de legitimidade ainda maior para os e-mails.

Uma das ferramentas usadas pelo TEMP.Periscope é chamada de “PHOTO”. Esse vírus é capaz de realizar capturas de tela, gravar vídeo e áudio, listar e finalizar programas em execução, registrar as teclas digitadas, recuperar usuários e senhas em armazenamento protegido e modificar arquivos.

A Future possui as melhores soluções e serviços para manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: G1

Read More
19 março 2018
adm.future
0
Categories: Blog, Segurança

Sua empresa está preparada para o GDPR?

GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados da União Europeia)  – foi desenvolvido pelo parlamento europeu e tem como objetivo garantir a segurança dos dados pessoais dos cidadãos contra vazamentos e roubos virtuais. A nova regra entrará em vigor a partir de maio e promete balançar não só o mercado internacional, mas também o brasileiro.

Ao contrário do que muitos acreditam, o GDPR não está restrito às empresas europeias, mas afetará qualquer companhia que por algum motivo tenha que processar dados de residentes europeus, independentemente da localização. Qual empresa que opera hoje em escala internacional não possui algum tipo de negócio com residentes ou empresas da União Européia? Portanto, a partir de agora, as organizações que mantêm negócios com qualquer cidadão europeu terão de focar ainda mais na proteção de dados dos clientes.

Em caso de vazamento de dados, a empresa terá apenas 72 horas para fazer o comunicado oficial e apresentar um plano de resposta ao incidente. As sanções são bem pesadas, podendi chegar a 4% do faturamento total da companhia ou 20 milhões de euros.

De acordo com levantamento realizado pela Real Protect, empresa especializada em Serviços Gerenciados de Segurança, estima-se que 60% das empresas ainda não iniciaram os preparativos para estar em compliance. Nos Estados Unidos, 2/3 das empresas estão reavaliando seus negócios na Europa.

De forma resumida, o GDPR trata de práticas relacionadas ao gerenciamento de toda e qualquer informação sensível para os negócios. Dessa forma, para estar dea cordo serão necessárias medidas práticas para melhorar tanto as ações dos funcionários quanto a execução da aplicação das políticas de segurança.

Inicialmente, é fundamental ter conhecimento e visibilidade sobre as informações e processos de segurança presentes na infraestrutura de sua empresa. Para isso, sugiro que você:

– Acesse e audite os dados sob sua responsabilidade;
– Reavalie Sistemas e Tecnologias;
– Alinhe objetivos de negócio ao longo da empresa.

É importante ressaltar também que o plano precisa sair do papel para a ação. Os gestores de segurança necessitam de estratégias práticas e que possam ser implementadas para que consigam, de fato, atingir o objetivo e estar em conformidade com o GDPR.E para que você possa, finalmente, responder de forma positiva à pergunta que dá título a este artigo!

Fonte: Computer World

Read More
16 março 2018
adm.future
0
Categories: Blog, Segurança

Malware foi pré-instalado em 5 milhões de celulares Android

Quase 5 milhões de smartphones alimentados pelo sistema operacional Android foram infectados por um malware através de um aplicativo pré-instalado nos aparelhos.

Conforme relata site, pesquisadores de segurança descobriram que o malware RottenSys se disfarçou de um aplicativo de “System Wi-Fi Service” e foi instalado em aparelhos das fabricantes Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung e GIONEE.

Aparentemente, o aplicativo foi instalado em algum momento ao longo da cadeia de suprimentos de fabricação dos smartphones, sendo que todos os dispositivos afetados foram enviados pelo Tian Pai, um distribuidor de telefonia móvel com sede em Hangzhou, na China.  No entanto, os pesquisadores não têm certeza se a empresa está envolvida no caso.

Ao contrário de oferecer o serviço de segurança de conexões Wi-Fi prometido pelo aplicativo pré-instalado, o RottenSys, na verdade, requeria quase todas as permissões sensíveis do Android para se comunicar com seus servidores e exibir propagandas na tela inicial do aparelho, gerando receitas publicitárias fraudulentas.

Os pesquisadores afirmam que, nos últimos 10 dias, o RottenSys exibiu anúncios 13.250.756 vezes. Além disso, alguns dispositivos infectados rodavam uma versão do RottenSys que permitia que os hackers tivessem habilidades mais extensas, incluindo instalação de aplicativos adicionais e automação de UI.

Fonte: Olhardigital

15 março 2018
adm.future
0
Categories: Blog, Segurança

Vantagens da contratação de serviços gerenciados de Segurança da Informação (MSS)

Os Managed Security Services (MSS), ou em português, serviços gerenciados de segurança, é um modelo de processos operacionais para garantir a segurança dos dados empresariais mais sensíveis. Cada vez mais empresas apostam nesse tipo de solução em seus setores de segurança da informação. Esse segmento se baseia no monitoramento remoto dos ambientes de TI. Isso é alcançado por meio do uso compartilhado de centros de operação de segurança (SOC – Security Operation Center).

O método foi desenvolvido pela Gartner Group, líder americana em pesquisas e consultoria no setor de informação. A partir de três preceitos (Monitoração de Segurança, Resposta a Incidentes e Gerenciamento de Segurança), uma equipe especializada gerencia ambientes de todos os segmentos de mercado de maneira remota.

Neste modelo, em vez de tratar a segurança de dados como uma consultoria pontual ou com foco exclusivo em produtos, prioriza-se uma opção de segurança contínua, com foco sempre em resultados. Isso significa ir além de vender uma solução de antivírus: vende-se uma rede livre de vírus.

Tipos de empresa que oferecem serviços gerenciados de segurança

Conhecidos como MSSP, ou Managed Security Services Providers, as empresas que oferecem serviços gerenciados de segurança são comumente classificadas em 4 tipos:

· Pure Players: tratam-se de empresas especializadas, cujo faturamento vem integralmente de serviços de segurança;
· Generalistas de outsourcing de TI: quando serviços de segurança são um item adicional do portfólio dessas empresas, que costumam ser focadas em TI;
· Operadoras de Telecomunicações: oferecem serviços simplificados que estão focados em proteção para as conexões privadas e com a Internet;
· Fabricantes de produtos de segurança: empresas que tradicionalmente vendem produtos de segurança e
iniciaram, recentemente, unidades de negócio para venda de serviços.

Porque as empresas tem optado pelo MSS

Desde a criação do modelo nos anos 2000, vê-se cada vez mais empresas adotando o MSS como solução de segurança. Porém, terceirizar a proteção dos dados vem com os seus problemas. Uma equipe interna possui um panorama mais completo do negócio e disponibilidade exclusiva para os projetos internos, por exemplo.

No entanto, existem alguns fatores que empurram cada vez mais gestores para a solução remota:

· Segurança não é a especialização da maioria das empresas;
· Manter um setor voltado unicamente para segurança da informação é custoso;
· Obter e reter profissionais especializados é um grande desafio, pois empresas especializadas oferecem um plano de carreira mais sólido;
· O tempo de resposta nesse setor precisa ser muito rápido e exige uma equipe completa.

O modelo MSS traz benefícios que abordam com sucesso esses problemas:

Segurança é um problema contínuo

A abordagem do MSS de oferecer segurança como uma solução contínua é uma das principais características que tornaram o modelo tão popular. Esse setor está sempre mudando, com novos vírus, novos ataques e novas vulnerabilidades surgindo a todo o momento. Portanto, é impossível aplicar uma medida pontual que solucione as necessidades de segurança de uma empresa.

Tecnologia de ponta não é o suficiente

O modelo MSS parte do princípio de que não adianta focar a segurança em produtos e software. É claro, um antivírus atualizado e moderno é importante, mas nunca será o suficiente. Por mais que a tecnologia esteja chegando a níveis impressionantes de desenvolvimento, o fator humano ainda é um dos pontos mais importantes da segurança. Existem pessoas por trás dos novos vírus e novas técnicas de ataque. Portanto, também precisam existir pessoas especializadas nisso para defender as empresas deles.

Gerir segurança exige conhecimento específico e experiência

Adquirir o conhecimento necessário para realizar uma gestão de segurança eficiente pode demorar. Além das formações específicas, essa é uma área em que a experiência no mercado é extremamente valiosa.

Com dados sensíveis e necessidade de respostas rápidas a ameaças, as empresas não especializadas não possuem tempo hábil para montar uma solução de segurança do zero. Inegavelmente, é mais rápido contratar um MSSP. Essas empresas, além de já possuírem profissionais habituados com o ritmo desse mercado, também têm acesso a mais amostras e mais experiência com falhas e ataques.

Comprar MSS é mais barato

Os custos associados com o modelo MSS são muito menores, em especial para empresas de pequeno e médio porte. Manter um setor específico de segurança em uma empresa que não tem essa área como foco pode ser extremamente custoso. A gestão deve considerar que serão necessários gastos com licenças, hardware e software, profissionais altamente especializados, treinamentos e cursos de atualização, SOC, datacenter e sistemas. Além disso, é necessário desenhar novos processos e diretrizes.

Quer saber mais sobre o MSS da Future, clique aqui!

Fonte: EXAME

 

13 março 2018
adm.future
0
Categories: Blog, Segurança

Ataques de ransomware caem 70%, mas ainda trazem riscos

Relatório de ciberameaças elaborado por empresa especializada em segurança da informação, aponta que, ao contrário de previsões de diversos especialistas, ataques de ransomware caíram em 2017: foram 638 milhões em 2016 e, no ano passado, o número ficou em 184 milhões – queda de 71,2%.

Regionalmente, as Américas foram as mais afetadas, recebendo 46% de todas as tentativas de ataque por ransomware em 2017. Por outro lado, a variedade dos ataques por ransomware aumentou em 101,2%, o que, juntamente com o volume de ataques ainda alto, faz com que o ransomware seja uma ameaça predominante, alerta a empresa.

“A ciberguerra afeta cada governo, negócio e pessoa. Ela não pode ser vencida por qualquer um de nós”, alerta CEO de empresa responsável pelo estudo. “Nossos dados e conclusões mais recentes mostram que não param de aumentar uma série de ataques estratégicos. Ao compartilhar inteligência orientada a ações, pretendemos melhorar a postura de segurança contra as ameaças maliciosas e também contra os criminosos de hoje.”

Panorama

Em 2017 mais de 9,32 bilhões ataques por malware foram registrados e mais de 12,5 mil novas vulnerabilidades comuns durante o ano passado.

“Os riscos para a privacidade dos negócios e o crescimento de seus dados crescem a cada dia, principalmente porque a cybersegurança está superando algumas das mais tradicionais preocupações empresariais”, comenta.

Uso de SSL/TLS cresce novamente

O tráfego web criptografado por padrões SSL/TLS registraram salto significativo em 2017, de 24%. Essa mudança vem apontando uma oportunidade para cibercriminosos, que vêm escondendo constantemente ameaças em tráfego criptografado. O tráfego SSL/TLS representou 68% do tráfego total de internet em 2017, aponta o estudo.

A Future possui as melhores soluções e serviços para manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: ComputerWorld

Read More
12 março 2018
adm.future
0
Categories: Blog, Segurança

Malware brasileiro ataca bancos e cartões de créditos na América Latina

O malware Prilex, anteriormente relacionado a ataque em caixas eletrônicos no Brasil, foi reinventado por cibercriminosos para atingir vítimas em outros países da América Latina.

Segundo empresa, no Brasil, os criminosos usavam um dispositivo blackbox configurado com um modem USB 4G para controlar remotamente a máquina. Ao abrir um backdoor para o atacante, eles tiveram a possibilidade de sequestrar a conexão sem fio da instituição e controlar outros caixas eletrônicos à vontade.

Com o passar do tempo, o grupo migrou seus esforços para sistemas de pontos de venda desenvolvidos por fornecedores brasileiros usando cartões de crédito roubados que permitiam a criação de um novo totalmente funcional, habilitado inclusive para transações protegidas pelas funcionalidades de chip e senha. Isso permite realizar as transações fraudulentas em qualquer loja, on-line ou off-line.

Um especialista explica que trata-se de um novo tipo de malware que oferece suporte para os criminosos em suas operações, tudo com uma interface gráfica de usuário e modelos bem elaborados para criar diferentes estruturas de cartões de crédito. “Apesar da clonagem de cartões protegidos por PIN já terem sido discutidas no passado, cremos que a ameaça do Prilex e seu modelo de negócios são importantes para serem compartilhados com a comunidade; já que esses ataques estão se tornando cada vez mais fáceis de realizar e a implementação do padrão EMV não conseguiu acompanhar os criminosos”, comenta.

O cartão de crédito clonado funciona em qualquer sistema de ponto de venda no Brasil devido a uma implementação incorreta do padrão EMV (especificação criada pela Europay, MasterCard e Visa, para pagamentos eletrônicos seguros de débito e crédito), em que nem todos os dados são verificados durante o processo de aprovação. Embora esses ataques tenham acontecido no passado, é a primeira vez que um conjunto tão completo de utilitários é encontrado nesse âmbito, ainda mais visando apenas comerciantes brasileiros – até o momento. Todo o processo que envolve desde o roubo da informação até a criação do cartão falso é cuidado pelo Prilex, de forma fácil e direta.

Atualmente, a evidência da investigação indicou que o malware está sendo distribuído por meio de um e-mail convencional, que convence as vítimas a baixar uma atualização de um servidor remoto – na qual é controlada por criminosos. As vítimas tendem a ser lojas tradicionais, como postos de gasolina, supermercados e mercados típicos de varejo; e, todos eles, localizados em diferentes estados do Brasil.

Fonte: Computer World

9 março 2018
adm.future
0
Categories: Blog, Segurança

Segurança da informação: gastos mundiais chegarão a US$ 96,3 bilhões este ano

Os gastos mundiais das empresas com segurança da informação devem chegar a US$ 96,3 bilhões em 2018, um crescimento de 8% em relação ao ano anterior, de acordo com projeção do Gartner. Segundo a consultoria, as organizações estão gastando mais com a proteção de dados por conta das exigências regulatórias e da preocupação com ameaças emergentes. Ataques cibernéticos, como WannaCry e NotPetya, por exemplo, contribuem para o aumento dos gastos. Veja, a seguir, as principais percepções e o que esperar para este ano:

  • Até 2020, mais de 60% das empresas irão investir em múltiplas ferramentas de segurança, como prevenção de perda de dados, criptografia e ferramentas de proteção de auditoria centradas em informação. Atualmente, esse número é de aproximadamente 35%.
  • A escassez de profissionais da área, a complexidade técnica e o aumento das ameaças continuarão a impulsionar a automação e serviços de terceirização de segurança, que irão totalizar US$ 18,5 bilhões em despesas, um crescimento de 11% em relação a 2017.
  • Até 2019, 75% das despesas com as empresas terceirizadas serão em produtos de software e hardware de segurança, em comparação a 63% em 2016.
  • 53% das organizações citaram os riscos de segurança como o fator número 1 para as despesas gerais do setor. Para elas, uma possível violação é o principal risco que influencia as despesas.
  • Os testes de segurança, a terceirização de TI e o gerenciamento de eventos (SIEM) estão entre os subsegmentos de proteção com crescimento mais rápido, impulsionando os setores de proteção de infraestrutura e serviços de segurança.
  • O Regulamento Geral de Proteção de Dados (RGPD), que entra em vigor em maio deste ano e conta com novas regras e obrigações impostas aos cidadãos, empresas e outras companhias privadas e públicas, impulsiona o aumento dos gastos. Para implementar os recursos adicionais, será preciso mudar a forma de fazer negócio e estar ciente dos possíveis aumentos de custos para a gestão de dados. Todas as empresas europeias (bancos, seguradoras etc.) com presença ou operação no Brasil deverão segui-lo.

Fonte: itforum365

Read More
7 março 2018
adm.future
0
Categories: Blog, Segurança

Hackers roubam ao menos US$ 7 milhões com malware de mineração de criptomoedas

Pesquisadores de empresa identificaram que um grupo hacker ganhou ao menos US$ 7 milhões, em apenas seis meses, com um método sofisticado de infecção para instalar software de mineração de criptomoedas em computadores corporativos.

No total, 2,7 milhões de usuários foram atacados por mineradores mal-intencionados em 2017. O número é aproximadamente 50% maior que o de 2016 (1,87 milhão). Os usuários se tornaram vítimas por conta de adware, jogos e software pirateados usados pelos criminosos virtuais para infectar computadores secretamente. Outra abordagem usada foi a mineração na Web, por meio de um código especial localizado em uma página da Web infectada. O minerador da Web mais usado foi o CoinHive, detectado em muitos sites populares.

Fim do ransomware?

Especialistas observaram que o ransomware está desaparecendo no segundo plano, ao mesmo tempo em que dá lugar aos mineradores. Isso é confirmado pelas estatísticas, que mostram um crescimento constante dos mineradores durante todo o ano, assim como o fato de que grupos de criminosos virtuais estão desenvolvendo seus métodos ativamente e já começaram a usar técnicas mais sofisticadas para propagar software de mineração. Nós já vimos uma evolução como essa; os hackers de ransomware usavam os mesmos truques quando estavam em ascensão.

Criptomoedas em voga

Os altos e baixos do bitcoin mudaram significativamente não apenas a economia mundial, mas também o universo da cibersegurança. Para ganhar valores em criptomoeda, os criminosos começaram a usar softwares de mineração em seus ataques que, como o ransomware, tem um modelo de monetização simples.

Porém, diferentemente do ransomware, eles não prejudicam os usuários de maneira destrutiva, e conseguem ficar no computador por muito tempo sem serem detectados, usando sua capacidade de processamento silenciosamente.

O ataque

Os pesquisadores identificaram um grupo de criminosos virtuais com técnicas de APTs em seu arsenal de ferramentas para infectar usuários com mineradores. Eles têm empregado o método de esvaziamento de processos (“process-hollowing”), normalmente utilizado em malware e já observado em alguns ataques direcionados de agentes de APTs, mas nunca em ataques de mineração.

No ataque, a vítima é enganada a baixar e instalar um software de publicidade que contém o instalador do minerador oculto. Esse instalador traz um utilitário legítimo do Windows cuja finalidade principal é baixar o próprio minerador de um servidor remoto. Após sua execução, um processo legítimo do sistema é iniciado, e o código legítimo desse processo é alterado para o código malicioso. Como resultado, o minerador opera sob o pretexto de uma tarefa legítima, sendo impossível para o usuário reconhecer se há uma infecção de mineração. Também é um desafio para as soluções de segurança detectarem essa ameaça.

Além disso, os mineradores marcam esse novo processo de modo a restringir o cancelamento de qualquer tarefa. Se o usuário tentar interromper o processo, o sistema do computador será reiniciado. Assim, os criminosos asseguram sua presença no sistema por um tempo mais longo e mais produtivo.

Fonte: Computer World

Read More
6 março 2018
adm.future
0
Categories: Blog, Segurança

UDPoS: malware de pontos de venda ameaça comércios

Os sistemas de ponto de venda (PoS, do inglês Point of Sale) continuam a ser um alvo tentador para cibercriminosos. Enquanto as corporações e outras grandes organizações podem pagar equipes particulares de segurança de TI para monitorar dados de pagamento, muitas pequenas empresas não podem. Os sistemas PoS geralmente enviam dados de cartão de crédito para computadores simples, que executam versões básicas do Windows ou Linux, aumentando sua atratividade para os criminosos.

O UDPoS é uma família de malware de ponto de venda (PoS) recém-descoberta, elaborada para colher e exfiltrar informações de cartão de crédito de sistemas PoS usando o tunelamento de DNS. Essa nova família utiliza vários truques de ilusão, à medida que tenta disfarçar-se como uma atualização do pacote do serviço LogMeIn, além de fazer conexões de rede para um URL que se mascara como um domínio LogMeIn legítimo.

UDPoS

Testes recentementes de uma empresa  análisa  de forma detalhada o UDPoS. Os testes começaram com o dropper do malware, um arquivo auto-extraível de 7-zip chamado update.exe. O arquivo contém um serviço de malware e payload. Quando o dropper é executado, o payload do malware, logmeinumon.exe, é extraído para o disco. O serviço LogmeinServicePack_5.115.22.001.exe é então executado pelo recurso RunProgram do 7-zip. A escolha do nome do LogMeIn é provavelmente uma tentativa dos cibercriminosos de camuflar o malware como software legítimo de protocolo de desktop remoto (RDP, do inglês remote desktop protocol).

O dropper se auto-exclui após a execução, deixando o serviço de malware livre para criar um mecanismo de persistência no host. Os locais do sistema usados pelo UDPoS para armazenar os componentes maliciosos de persistência dependem dos direitos do usuário executando o malware. Uma vez que a persistência foi estabelecida, o serviço de malware renuncia ao controle do payload.

O payload do UDPoS carrega-se na memória e, em seguida, executa uma verificação das soluções antivírus existentes (AV). Esta verificação contém código de buggy que identifica com sucesso apenas uma das quatro bibliotecas de AV. O malware então cria um arquivo ID, hdwid.dat, para armazenar dados roubados. O UDPoS então lança cinco segmentos que fazem o trabalho pesado do malware:

Segmento 1 – reúne informações do sistema
Segmento 2 – inicializa a comunicação de comando e controle (C2) e obtém o endereço IP externo da vítima
Segmento 3 – sistematicamente “pinga” com o servidor C2
Segmento 4 – raspa a memória dos processos em execução para extrair as faixas 1 e 2 dos dados do cartão de crédito
Segmento 5 – envia os dados exfiltrados para o servidor C2 via tunelamento de DNS

Por que UDPoS é importante e por que devo me preocupar?

Qualquer pessoa que aceite pagamentos com cartão de crédito através de um sistema PoS deve se preocupar em manter os dados de seus clientes seguros. UDPoS rouba os dados das faixas 1 e 2 do cartão de crédito. Os dados da faixa 1 incluem informações do cliente, número do cartão e código CVV2 de três dígitos. Os dados da faixa 2 contêm informações da faixa magnética próprias para criar clones físicos de cartões comprometidos.

A perda de dados do cartão de crédito dos clientes mostrou-se excepcionalmente prejudicial para a reputação e as finanças de grandes varejistas. É improvável que pequenas empresas possam sobreviver aos custos do roubo de dados do cartão de crédito de seus clientes via UDPoS.

Embora a exfiltração baseada no tunelamento DNS no malware PoS não seja nada novo, deve-se lembrar que, além de executar soluções antivírus e EDR, as organizações devem colocar mais ênfase na análise do tráfego de DNS por características duvidosas ou atípicas.

Fonte: Computer World

Read More

Receba conteúdos exclusivos