FrameworkPOS

Descrição do FrameworkPOS

O FrameworkPOS é um malware de ponto de venda, uma ameaça criada para coletar informações de cartão de crédito e financeiras das vítimas quando elas efetuam um pagamento em um varejista. O FrameworkPOS é desenvolvido pelo FIN6, um grupo que realiza ataques semelhantes desde o início de 2016. Eles receberam atenção quando venderam quase vinte milhões de números de cartão de crédito na Dark Web. É claro que os criminosos responsáveis pelo FrameworkPOS obtiveram milhões de dólares em lucros com esses ataques e representam uma ameaça significativa para os usuários de computadores em todo o mundo.

Como o FrameworkPOS pode ser Instalado em um Computador

O FrameworkPOS foi desenvolvido para coletar dados de cartão de crédito dos dispositivos em uma rede infectada. O FrameworkPOS será instalado aproveitando as explorações conhecidas, que podem incluir CVE-2013-3660, CVE-2011-2005 e CVE-2010-4398 em sistemas que usam o sistema operacional Windows. Depois de instalado, o FrameworkPOS pode mapear uma rede e infectar vários dispositivos, estabelecendo uma conexão com um servidor de Comando e Controle para retransmitir todos os dados de pagamento coletados para seus controladores. O FrameworkPOS interceptará os dados de pagamento no dispositivo de processamento de pagamentos, criando um arquivo de log que os registrará. Os servidores de comando e controle do FrameworkPOS recebem esses dados em um arquivo ZIP protegido por senha.

Outros Ataques de Malware foram Vinculados ao FrameworkPOS

Um malware ataca por si mesmo raramente. Se houver malware em uma rede, é provável que outras infecções também tenham conseguido encontrar o caminho para isso. O FrameworkPOS foi associado a ataques de ransomware, que podem ser implantados em dispositivos infectados como uma segunda maneira de gerar receita às custas das vítimas do ataque. Os dispositivos em uma rede comprometida que não estão conectados a um terminal de pagamento serão infectados com uma variante de ransomware, geralmente malware nas famílias Ryuk Ransomware ou LockerGoga Ransomware. Essas ameaças usarão um forte algoritmo de criptografia para tornar inacessíveis os arquivos gerados pelo usuário da vítima e direcionar arquivos com extensões de arquivo como as seguintes:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel,. prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf , .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx. pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx , .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr, .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc. qbp, .aif, .qba, .tlg, .qbx, .qby, .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd,. cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4,, .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt , .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw,. clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

Depois que os arquivos da vítima forem comprometidos, eles não serão recuperáveis. Por esse motivo, os usuários de computador precisarão reinstalar todos os arquivos comprometidos a partir de uma cópia de backup e frequentemente precisarão reinstalar completamente o sistema operacional em um dispositivo para garantir que a infecção do FrameworkPOS ou a infecção associada ao ransomware desapareça completamente.

Protegendo a Sua Rede contra Ameaças como o FrameworkPOS

É claro que o FrameworkPOS representa uma ameaça séria. Por esse motivo, os administradores de rede precisam garantir que seus dispositivos estejam bem protegidos. Medidas fortes de segurança, software de segurança e atualizações regulares podem atenuar o efeito de ataques como o FrameworkPOS em uma rede e em clientes em potencial.