NitlovePoS

O NitlovePoS é um Trojan de Ponto de Venda (PdV). Essas ameaças são projetadas para coletar informações de cartão de crédito e débito quando uma venda é feita, atacando os dispositivos de processamento de transações de vendas dos varejistas. Os pesquisadores de segurança de PC não determinaram quem é responsável pelo NitlovePoS definitivamente; essa ameaça pode ser o trabalho de um grupo criminoso estabelecido ou de um novo grupo de hackers. É claro que o NitlovePoS representa um grupo, e varejistas, administradores de sites e outros que estão operando dispositivos PoS devem tomar precauções para remover e evitar infecções por NitlovePoS.

Métodos de Distribuição do NitlovePoS

O NitlovePoS está se infiltrando nas redes principalmente através de anexos de e-mail de spam corrompidos. Estes são frequentemente arquivos DOC com macros embutidos corrompidos que baixam e instalam o NitlovePoS no computador da vítima. Os anexos de arquivo corrompidos que são usados para entregar o NitlovePoS podem ter nomes como 'My_Resume_ [RANDOM NUMBERS] .doc' ou 'CV_ [RANDOM NUMBERS] .doc' e estão contidos em campanhas de emails spam que usam contas de email e linhas de assunto do Yahoo! projetadas para enganar os recrutadores para abrir arquivos corrompidos. A seguir, exemplos de linhas de assunto que foram usadas em mensagens de e-mail que foram vinculadas à propagação da infecção por NitlovePoS:

Assunto: Any Jobs?

Assunto: Openings?

Como Ameaças como o NitlovePoS Realizam os Seus Ataques

Os arquivos DOC corrompidos usados para distribuir o NitlovePoS usam scripts de macros embutidos para realizar o ataque. Quando a vítima abre o arquivo, aparece uma mensagem afirmando que é um 'documento protegido' e solicita que a vítima ative o script de macro. Quando a vítima ativa a macro, o ataque será realizado. Esse é um método comum usado para fornecer uma ampla variedade de ameaças de malware, desde ransomware até Trojans de backdoor. O script de macro incorporado neste documento descarta uma carga útil no diretório TEMP do computador infectado, que consiste em dois arquivos chamados degraf.scr e defrag.vbs. Esses arquivos realizam o ataque e também rastreiam outros processos no computador infectado para garantir que a infecção do NitlovePoS seja realizada de forma eficaz. O principal objetivo de ameaças como o NitlovePoS é verificar a memória do computador infectado, usando um método que raspe a memória. O NitlovePoS procura por informações de cartão de crédito e débito e as retransmite para um servidor de Comando e Controle. O servidor de Comando e Controle do NitlovePoS está localizado na Rússia. Os endereços IP associados aos ataques NitlovePoS também pertencem a domínios russos.

Protegendo os Seus Dispositivos e Redes contra Ameaças como o NitlovePoS

Ter um programa de segurança forte e atualizado operando em tempo real pode ajudar a reduzir as chances de se infectar com ameaças como o NitlovePoS. Como a infecção do NitlovePoS depende da interação direta com um anexo de e-mail corrompido e do scrip incorporado, uma das melhores proteções contra ameaças como o NitlovePoS é instruir todos os funcionários e indivíduos de uma empresa sobre a maneira correta de lidar com esse conteúdo. Uma combinação de educação e forte software de segurança é essencial na prevenção desses ataques. Também é crucial observar que dispositivos que usam tecnologia de chip e PIN podem não ser tão suscetíveis a infecções como NitlovePoS, que são mais comuns em países onde essa tecnologia não é obrigatória (como os Estados Unidos). Pequenas empresas, que não têm os mesmos recursos para educação e prevenção de malware, como empresas maiores, são vulneráveis a ataques de POS, como o NitlovePoS, especialmente, por isso, o monitoramento e a manutenção regulares de todos os dispositivos e redes são etapas essenciais na prevenção desses ataques.