PoSeidon
O PoSeidon é um malware para PDV (Ponto de Venda) que foi observado pela primeira vez pelos pesquisadores de segurança do PC em 2015. O PoSeidon, como a maioria dos malwares de PdV, foi projetado para retirar da memória dos dispositivos de PdV dados de cartão de crédito e débito. Esses dados são coletados e usados para fraudes e outros propósitos. O PoSeidon é capaz de se atualizar e também possui componentes de keylogger projetados para coletar senhas e informações de login do dispositivo infectado. O PoSeidon tem fortes medidas de ofuscação que podem tornar muito difícil para os pesquisadores de segurança do PC estudar o PoSeidon em detalhes. Os servidores de Comando e Controle da PoSeidon e domínios associados parecem estar todos localizados na Rússia. O PoSeidon é capaz de alcançar persistência em um dispositivo infectado e pode reinfectar os dispositivos afetados depois que eles forem desligados e reinicializados.
Índice
Ataques do PoSeidon que foram Denunciados nos Últimos Anos
O PoSeidon tem sido responsável por uma ampla variedade de ataques reportados desde 2015, e depois de março de 2016, quando os seus criadores conseguiram incorporar recursos de monitoramento de persistência nos seus recursos. O PoSeidon foi usado para infectar terminais do Select Restaurants Inc. e do 24x7 Hospitality Technology em março de 2017, o que resultou em restaurantes e hotéis comprometidos nos Estados Unidos. O PoSeidon foi usado para assumir a rede do Avanti Markets em julho de 2017, que é uma empresa responsável pela venda de quiosques. O PoSeidon foi incluído em uma atualização corrompida para esses quiosques de autoatendimento, o que comprometeu os dados de cartão de crédito das vítimas e até mesmo as impressões digitais. A melhor proteção contra ameaças como o PoSeidon envolve computadores fortes e segurança de rede, uma vez que os criminosos devem primeiro violar os dispositivos e redes visados para poder implantar os ataques PoSeidon contra o público.
Como Funciona o Ataque do PoSeidon
A família do PoSeidon aumentou em popularidade e afetou milhares de usuários de computador em todo o mundo. Criminosos tornaram o PoSeidon mais eficaz gradualmente, mesmo com avanços na pesquisa anti-malware e novas soluções de software sendo lançadas para lidar com ameaças como o PoSeidon. O PoSeidon pode ser distribuído usando várias táticas. Um dos ataques relatados acima envolveu a infecção de uma rede. Na maioria dos ataquesdo PoSeidon, no entanto, parece que os criminosos têm acesso físico aos dispositivos alvo ou distribuem o PoSeidon através de dispositivos de memória externos e corrompidos.
O Componente de Keylogger do PoSeidon
Depois que o PoSeidon for instalado, ele tentará acessar o Registro do Windows e procurar as chaves do LogMeIn Ignition. Esse é um aplicativo de área de trabalho remota que é freqüentemente usado nos sistemas corporativos. Se o PoSeidon encontrar essas chaves de Registro, ele tentará obter os endereços de e-mail e as informações de login das vítimas. Em seguida, ele removerá todos os perfis do LogMeIn salvos para que as vítimas tenham que digitar as suas senhas manualmente, permitindo que o keylogger registre as teclas digitadas e capture a senha do dispositivo. Essas senhas coletadas podem ser usadas em uma grande variedade de táticas, que podem incluir a disseminação do PoSeidon.
A Capacidade de Recolher os Dados do Cartão de Crédito e Cartão de Débito do PoSeidon
O principal objetivo do PoSeidon é coletar dados de cartões de crédito e débito. Para fazer isso, o PoSeidon verifica os processos em execução no computador da vítima. O PoSeidon grava strings que contêm 15 dígitos e começam com 3 e strings de 16 dígitos que começam com 4, 5 ou 6, que são números de cartão de crédito e débito para as empresas financeiras mais usadas. Esses números são verificados usando o algoritmo Luhn, que pode ser usado para confirmar se os cartões são válidos. Sempre que o PoSeidon encontra um número de cartão de crédito ou débito legítimo, o PoSeidon envia essas informações para seus servidores de Comando e Controle, localizados na Rússia. Esses dados podem então ser empacotados e revendidos na Dark Web, ou usados pelos criminosos para coletar o dinheiro das vítimas diretamente.
