PunkeyPOS é um malware que tem preocupado restaurantes nos Estados Unidos atualmente e que roda no Windows e pode ser acessado através do telefones de dados para roubar dados ou informações confidenciais, como números de contas, o conteúdo de fitas magnéticas em cartões bancários, etc.
A empresa de antivírus PandaLabs publicou os resultados das atividades de pesquisa do malware PunkeyPOS, infectando Terminais de PoS em restaurantes nos EUA e na Europa, e também é capaz de expor dados de qualquer crédito cartão.
Amostras PunkeyPOS foram descobertas pela primeira vez no ano passado. O novo malware PunkeyPOS é o sucessor da família NewPOSthings, que costumava atacar muitos intrusos. Inicialmente, o malware funcional chave detectou a identidade do titular do cartão.
Para realizar o roubo de informações, basta instalar primeiro, um keylogger que fica responsável pelo monitoramento pressionamentos de tecla, enquanto o outro ram-scraper que é responsável por ler a memória dos processos que são corrida.
De acordo com as informações do PandaLabs, os Trojans podem funcionar em todas as versões do Windows, sendo a sua principal tarefa é interceptar os dados do cartão de plástico, incluindo números, os dados nos mapas da fita e outras informações.
Com base nas informações capturadas, o malware executa uma série de verificações para determinar o que é válido e o que não é. “A partir das teclas digitadas, PunkeyPOS obtém apenas informações que podem parecer um cartão de crédito, ignorando qualquer outra memória obtida por meio de processos. Os terminais de PDV fazem a leitura dessas informações nas fitas magnéticas dos cartões bancários e podem ser posteriormente utilizados para clonar esses cartões, explicam os especialistas em segurança da empresa.
Os atacantes de bot são executados por meio de uma interface baseada na web, na qual o cavalo de Tróia é equipado com um mecanismo de atualização embutido, bem como sistemas de reinfecção. Os investigadores do PandaLabs analisaram que mais de 200 terminais PoS foram infectados desta forma pelo PunkeyPOS e a maioria das vítimas são dos Estados Unidos.
No entanto, uma vez que as informações relevantes são obtidas, os cibercriminosos as enviam remotamente para duplicar e usar esses dados em transações digitais. O PandaLabs explica que eles conseguiram rastrear esta remessa porque o servidor dos hackers não foi configurado corretamente, permitindo que eles acessem informações e localizem os dados roubados, podendo até mesmo atualizar os TPVs remotamente.
Na semana passada, o jornalista americano Brian Krebs disse em seu blog sobre a operação em grande escala que visava infectar terminais de ponto de venda. De acordo com a informação, desde abril deste ano, os hackers conseguiram roubar informações de pagamento de 1,2 milhão de cartões de crédito. Embora a vulnerabilidade tenha sido descoberta nos Estados Unidos, a empresa também identificou vulnerabilidades no Panamá, França, Reino Unido, Romênia, Japão ou Austrália.