PinkKite

Por GoldSparrow em Malware

O PinkKite é uma ameaça de malware POS (Point-of-Sale). O PinkKite foi observado pela primeira vez em 2017 como parte de uma campanha de malware de POS em larga escala. O PinkKite se destaca porque seu arquivo executável é bem pequeno, menor que seis mil bytes. Isso é semelhante a outras ameaças de malware de POS lançadas em um período de tempo semelhante. O PinkKite foi projetado para permanecer ativo no dispositivo afetado, mesmo se o dispositivo for reinicializado, usar criptografia XOR dupla para se comunicar e uma câmara de compensação para exfiltrar dados. O PinkKite é projetado para representar um processo legítimo de memória do Windows e é executado no Gerenciador de Tarefas com nomes como svchost.exe, cgfmon.exe e ag.exe, o que dificulta sua detecção. O PinkKite verificará a memória do dispositivo infectado e validará os números do cartão de crédito usando um algoritmo Luhn. Os atacantes responsáveis pelo ataque PinkKite espalharão o PinkKite através da rede de uma empresa usando o Mimikat para coletar senhas e informações de login e então usar sessões RDP para coletar os dados do cartão de crédito das vítimas.

Por Que o Trojan POS PinkKite está Ficando Fraco

O principal objetivo do PinkKite é coletar informações de cartão de crédito de dispositivos de ponto de venda, como leitores de cartão de crédito e dispositivos de computador usados durante o check-out por varejistas. Esses dados de cartão de crédito são coletados e vendidos em massa na Dark Web, onde outros criminosos podem usá-lo para realizar um grande número de táticas ou simplesmente coletar dinheiro das vítimas. O fato de o tamanho do PinkKite ser menor que seis KB significa que pode ser mais fácil distribuir e ocultar do que outras ameaças de malware de POS maiores. O PinkKite também é eficaz em ofuscar seu ataque. O PinkKite carrega os dados que coleta em seus próprios servidores, primeiro armazenando-os em uma chamada câmara de compensação, de onde os autores do PinkKite baixam os dados do cartão de crédito. O ataque PinkKite já correu o seu curso e que a maioria dos dispositivos infectados com PinkKite foram eliminados desta ameaça. No entanto, não há razão para não acreditar que o PinkKite possa ser usado em futuras campanhas de malware de PDV. A principal coisa que mantém os usuários de computador a salvo dessas ameaças no momento é o fato de que as instituições financeiras fizeram a transição para formas mais seguras de processar os pagamentos com cartão de crédito gradualmente, o que inclui o uso de chips de segurança e PINs.

Como os Criminosos Usam Ameaças como PinkKite

O PinkKite usará o XOR duplo para codificar os 16 dígitos de cada número de cartão de crédito que ele descobrir no computador da vítima. O ataque que o PinkKite realiza é uma tática conhecida como scraping de memória, que envolve a varredura da memória do dispositivo infectado e a extração dos dados do cartão de crédito. Os pesquisadores de segurança tomam conhecimento dos ataques PinkKite devido às três câmaras de compensação associadas a esse ataque. Estes estão localizados no Canadá, Holanda e Coréia do Sul, embora seja improvável que os criminosos estejam baseados nesses países. Esse método de coleta de dados das vítimas, em vez de usar um servidor Comando e Controle C2, tornou o ataque PinkKite fácil de detectar e ser interrompido por pesquisadores de segurança do PC. O PinkKite armazena os dados do cartão de crédito coletados em arquivos compactados. Esses arquivos podem usar extensões de arquivo, como .f64, .n9 e .sha64. Cada um desses arquivos pode conter até sete mil números de cartão de crédito diferentes e é enviado para um dos três servidores da câmara de compensação que foram observados usando uma sessão do protocolo RDP (Remote Desktop Protocol). Esses servidores foram usados para coletar centenas de milhares de números de cartão de crédito usando o PinkKite. O grande número de dados comprometidos observados por pesquisadores de malware diz algo sobre a extensão da campanha PinkKite, tornando essencial que os varejistas protejam seus dispositivos contra essas ameaças.

Tendendo

Mais visto

Carregando...