As informações do seu cartão de crédito ou débito podem estar em risco: a empresa de pesquisa de segurança Tempest encontrou um conjunto de malwares focados em “Points of Sale” (POS) – sistemas de caixa registradora em comércios, como caixas de supermercados – que extraía as informações dos consumidores. E o número de cartões afetados é expressivo, pelo menos 1,4 milhão de dados roubados entre 2015 e 2017.

Os pesquisadores da Tempest batizaram o ataque de HydraPOS, já que possuía diversas “cabeças”. Segundo eles, no início a ideia era acumular dados de cartões de sistemas de supermercados, mas os atacantes passaram a olhar também para coleta de dados bancários e credenciais de acesso de e-commerce.

Em entrevista à Folha de S. Paulo, Ricardo Ulisses, líder de análise de ameaças da Tempest, disse que eles não identificaram as empresas afetadas porque o foco era a compreensão do ataque em si. Neste momento, os usuários precisam estar atentos aos extratos de seus cartões para identificar se não foram efetuadas compras desconhecidas.

Como o HydraPOS obtia acesso aos computadores

Em uma publicação em seu canal de comunicação oficial, a Tempest explica que o esquema de fraude mantinha dezenas de ferramentas e centenas de malwares em seu arsenal, incluindo opções de de terceiros como o conhecido malware Kaptoxa — usado no ataque contra o grande varejista Target em 2014 – e também códigos maliciosos próprios, até então não identificados ou publicados pela indústria.

Para infectar os estabelecimento, o HydraPOS se vale de um processo complexo que pode envolver o serviço de banda larga das teles nacionais. Uma forma de entrada, por exemplo, era através de uma ferramenta chamada VNC-Scanner, que busca máquinas com o serviço Virtual Network Computing (VNC) vulnerável e explora vulnerabilidades. Na real, boa parte das entradas se dava a partir de sistemas que utilizam algum tipo de software de acesso remoto (VNC, RDP, Radmin e SSH) que estivessem configurados incorretamente ou que estavam desatualizados. Uma vez que eles conseguiam tomar o alvo, utilizavam ataques de força bruta para a obtenção das senhas de acesso ou exploravam outras vulnerabilidades. Posteriormente, os hackers começaram a utilizar também técnicas de phishing para infectar as vítimas.

Após conseguir acesso aos computadores, os hackers podiam instalar outros malwares, extrair dados e se manterem no ambiente. Como se tratava de um acesso remoto, em algumas redes era muito fácil realizar novas operações, dependendo do privilégio de acesso obtido.

Guardando informações dos cartões

As informações de transações de cartões de crédito e débito são criptografadas, mas os hackers conseguiam os dados ao extraí-los somente quando eram decifrados pelos sistemas de caixa registradoras no processo de autorização da compra. Isso é feito a partir de malwares memory-scraper, que identificam quais espaços na memória serão alocados com uma informação de interesse. Eles também utilizavam uma série de malwares com a função de keylogger – que registra o que é digitado na máquina.

Malwares do tipo memory-scraper, como o Kaptoxa, são preparados para identificar quais espaços na memória serão alocados com uma informação de interesse do atacante. Dessa forma, esses malwares aguardam o espaço ser preenchido com a informação de interesse e guardam esses dados em arquivos a serem posteriormente enviados para um servidor de comando e controle.

Depois de obter esses dados, o código malicioso enviava as informações para um servidor de comando e controle. De acordo com os pesquisadores, foram identificados sete servidores em uso pelos criminosos e assim foi possível constatar o armazenamento de 1.454.291 dados de cartões. As evidências apontam que esses registros valem desde 2015, mas foram encontrados indícios que sugerem que os operadores do HydraPOS estão em atividade, pelo menos, desde 2013. Ou seja, esse número pode ser ainda mais assustador.

Nesses servidores analisados pela Tempest, foram encontrados ainda ferramentas de uso legítimo (como as usadas para administração remota), mecanismos para ataques de força bruta e para a coleta de endereços de e-mail. Além disso, os hackers tinham ferramentas para lidar com grandes quantidades de informações e classificar os dados, para detectar quais eram os cartões mais valiosos e com maiores limites, como os platinum.

E agora? Como se proteger

Neste momento, os consumidores não têm muito o que fazer. O lance é ficar atento ao extrato do cartão, dar uma conferida nas faturas anteriores para ver se não há nenhuma compra desconhecida.