Crackers vendem dados de cartões roubados de lojas e hotéis

crackerA empresa de segurança FireEye divulgou na última quarta-feira (20) um relatório detalhando as atividades de um grupo criminoso batizado pela companhia de “FIN6”. Segundo a empresa, os cibercriminosos invadem sistemas de ponto de venda em hotéis e em lojas de varejo, capturando as informações de milhões de cartões de crédito de clientes para comercializá-las no submundo da internet.

Parte da atividade do FIN6 permanece um mistério. A FireEye ainda não conseguiu determinar com exatidão como os cibercriminosos invadem as redes das empresas para instalar o programa espião nos pontos de venda. Investigações da Mandiant, um dos grupos de analistas da FireEye, descobriram que os cibercriminosos já possuíam credenciais de acesso (usuário e senha) válidos para acessar as redes das vítimas. A companhia acredita, com base em alguns casos, que os criminosos obtiveram as senhas a partir de outro ataque, um vírus chamado de “GRABNEW” e que é distribuído amplamente por e-mails maliciosos.

Com essas senhas, os cibercriminosos vasculham a rede da empresa procurando por sistemas de ponto de venda (os “caixas” e balcões de cobrança). Quando um desses sistemas é localizado, os cibercriminosos instalam um vírus chamado de “TRINITY”. Esse programa monitora a memória do computador em busca de dados de trilhas de cartões.

De acordo com a FireEye, dois mil sistemas foram contaminados com o TRINTY, expondo milhões de cartões de crédito.

Depois de capturadas, as informações dos cartões vão parar em uma “loja de cartões” no submundo da web, que chegou a oferecer 15 milhões de dados de cartões de crédito associados a uma única operação da gangue FIN6. Em média, cada cartão de um consumidor norte-americano é vendido por US$ 21 (cerca de R$ 75).

Segundo a empresa, é possível que essa loja seja operada por terceiros e receba dados de cartões de diversos grupos e não apenas do FIN6.

A FireEye não divulgou quais os países atacados pela gangue. No entanto, como o vírus TRINTY faz a cópia de dados da trilha de cartões, é pouco provável que ele tenha muito êxito na Europa, no Brasil e em outros lugares que já adotaram cartões com chip. Em pelo menos um dos casos analisados pela FireEye, com quase 20 milhões de cartões, a maioria deles era dos Estados Unidos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Sites brasileiros de compras a serem evitados, segundo o Procon

perigoDesde 2012, o Procon-SP elabora uma lista com os sites de e-commerce que você deve evitar. Ela foi crescendo e agora conta com 513 empresas, que vendem produtos de tecnologia, itens por compra coletiva e outros. Repasse aos seus amigos!

Os sites da lista receberam muitas reclamações de clientes, foram notificados pelo Procon e não responderam à notificação. Assim, o órgão define que foi impossível “qualquer tentativa de intermediação entre as partes” e classifica o site como não-recomendado.

A lista completa do Procon-SP está disponível aqui. Vale notar que uma loja é descrita como “no ar” se estava funcionando quando foi incluída pelo órgão; ela pode já ter saído do ar. Por isso, visitamos todos os sites da lista para descobrir quais ainda estão na ativa – são 34 no total.

Abaixo, os sites marcados com *asterisco foram marcados pelo Procon como “fora do ar” mas estão na ativa. Eles podem ter mudado de dono, ou realmente voltado dos mortos para aplicar mais golpes.

Eis as lojas denunciadas pelo Procon-SP que ainda estão no ar:sitesA lista foi atualizada recentemente porque estamos na Semana do Consumidor. Para se proteger nas compras online, recomendamos também que você visite o Reclame Aqui ou Reclamão.com para saber se a loja acumula queixas – especialmente as não-respondidas. E se o preço da loja foi muito menor do que se vê no mercado, é bom desconfiar.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo

Novas ameaças de malware PDV criadas no Brasil

comprasEm abril de 2015, a Trend Micro mapeou o FighterPOS, um malware de Ponto de Venda (PDV), que foi usado em uma operação criminosa orquestrada por somente um hacker, para roubar mais de 22.000 números de cartão de crédito exclusivos e afetou mais de 100 terminais PDV no Brasil e em outros países.

Recentemente, a Trend Micro deparou-se com versões novas e aparentemente aprimoradas desse malware. Entre outras coisas, o FighterPOS agora tem capacidade de propagação. Isso significa que ele pode propagar-se de um terminal PDV para outro que esteja conectado à mesma rede e assim aumentar o número de potenciais vítimas em uma empresa.

Também é possível notar que com base na análise de seus códigos, que as novas variantes do FighterPOS têm sequências de código escrito em inglês ao invés de português. Segundo a Trend Micro isso pode significar que quem está por trás dessas novas versões está operando em países de língua inglesa ou adaptando-se para visar países como o Estados Unidos.

Os dados coletados pela Trend Micro Smart Protection Network suporta essas descobertas: apesar de mais de 90% das tentativas de conexão aos servidores de comando e controle (C&C) ainda estarem localizadas no Brasil, o número de sistemas afetados nos Estados Unidos está em 6%.

Abaixo a análise de duas das amostras recentes que o Laboratório de Segurança e Ameaça da Trend Micro detectou: “Floki Intruder” (detectado como WORM_POSFIGHT.SMFLK), que é capaz de propagar cópias de si mesmo, e um versão leve detectada como TSPY_POSFIGHT.F.

Floki Intruder

Embora o Floki Intruder seja semelhante ao original FighterPOS por estar baseado no mesmo cliente botnet VnLoader, aparentemente foi compilado em uma máquina separada, muito provavelmente pelo criador da ameaça que adicionou novos recursos.

Entre as funcionalidades que o Floki Intruder compartilha como o FighterPOS estão desabilitar o firewall do Windows e o Controle de Conta do Usuário. Ele também é capaz de detectar qualquer produto de segurança por meio do Windows Management Instrumentation (WMI). Tanto o FighterPOS como o Floki Intruder são distribuídos por meio de sites comprometidos e suas atualizações são baixadas de seus servidores comando-e-controle (C&C).

Talvez a mais notável atualização do Floki Intruder em relação ao FighterPOS é ser capaz de enumerar unidades lógicas para baixar cópias de si mesmo e um autorun.inf usando VMI. De certa forma, acrescentar essa rotina faz sentido: como é bem comum que os terminais estejam conectados em uma rede, uma rotina de propagação não apenas possibilitará ao agressor infectar o maior número de terminais possível com o mínimo de esforço, como também torna essa ameaça mais difícil de ser removida, já que uma reinfecção ocorrerá enquanto pelo menos um terminal estiver infectado.

TSPY_POSFIGHT.F

Ao contrário do FighterPOS original, o TSPY_POSFIGHT.F não se origina no vnLoader, portanto a comunicação C&C é diferente. Como seu tamanho é menor, ele tem menos recursos em comparação ao Floki Intruder. O TSPY_POSFIGHT.F não aceita comandos de backdoor, nem obtém qualquer outra informação sobre o computador infectado. Ele só se conecta ao servidor para enviar possíveis registros de cartão de crédito que o scraper coletou.

O que é interessante é que nos conjuntos de amostras do TSPY_POSFIGHT.F coletados, elas parecem ser upgrades da versão, o que é basicamente o mesmo binário. Ou seja, é provável que os cibercriminosos que estejam usando o TSPY_POSFIGHT.F ataquem o mesmo ambiente com modificações progressivas como se estivessem fazendo um teste de esforço ou de tentativa e erro. Por exemplo, um conjunto continha o Searcher.dll visto no RDASRV, um antigo malware PoS RAM scraper. Os conjuntos mais novos contêm o recurso RAM scraping do NewPOSThings, baixado com o nome de arquivo rservices.exe.

Defesa contra o FighterPOS

Segundo a Trend Micro para proteger as grandes empresas contra bots e malware com recursos PoS RAM-scraping, o mais recomendado é implementar um controle de aplicações em endpoint ou tecnologia de whitelisting para manter o usuário no controle das aplicações que são executadas em sua rede.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: TInside

Novo malware com foco em lojas online é comercializado na rede

LusyPOSChamada de LusyPOS, a ameaça virtual utiliza códigos e outras características de outros malware conhecidos, como Dexter e Chewbacca.

Um novo tipo de malware point-of-sale, parecido com o que atingiu a rede Target, está sendo vendido em mercados underground por 2 mil dólares.

Chamado de LusyPOS, o malware foi encontrado no VirusTotal, um site onde as pessoas podem submeter amostras de malware para ser se um ou mais aplicativos de segurança conseguem detectá-lo.

A ameaça também anunciada em um site underground de cartões, em que são comprados e vendidos dados de cartões de crédito roubados, afirmou Brian Minick, vice-presidente de segurança avançada para negócios da empresa de segurança CBTS.

“É o primeiro que vemos desse tipo. Parece bastante novo”, afirma Minick.

Varejistas dos EUA foram atacados por malware que escaneam a memória volátil dos computadores conectados a sistemas de pontos de vendas, que lidam com pagamentos de cartões de crédito. A Home Depot afirma ter perdido dados de 56 milhões de cartões para um ataque desse tipo em um período de seis meses neste ano, em um dos maiores vazamentos da história.

Nick Hoffman, um engenheiro da CBTS, escreveu em um post que o LusyPOS compartilha algumas das mesmas características de outras duas plataformas conhecidas de malware POS: Dexter e Chewbacca.

Em um relatório publicado em janeiro deste ano, a empresa de segurança RSA disse que o Chewbacca era um malware simples, mas que infectou os sistemas de pelo menos 35 lojas.

Minick disse que não é incomum que os criadores de malware emprestarem códigos de outros programas para criar uma nova aplicação maliciosa para lucrar.

“Penso que isso mostra a reutilização de códigos que estavam por aí. Então esses desenvolvedores agora estão pegando o melhor do que foi disponibilizado de forma pública e reutilizando para criar uma nova ferramenta…para tentar ganhar um dinheiro fácil”, explicou Minick.

De acordo com o especialista, o malware LucyPOS compartilha um pouco do mesmo código fonte do Dexter e outras características do Chewbacca.

Fonte: IDG Now!

Black Friday: cuidado com a escolha das lojas onde for comprar

Black-FridayO comércio brasileiro está em polvorosa com a Black Friday, prometendo grandes descontos durante a próxima quinta e sexta-feira. Mas e se o preço variar durante o processo de compra? E se a loja demorar muito para entregar o produto? O Procon-SP ensina como proceder.

Antes de tudo: se você tiver algum problema ao fazer sua compra, ou se encontrar alguma loja com preços enganosos, pode reclamar com o Procon através destes canais, a partir das 19 h de 27:

Telefone: 151 – somente cidade de São Paulo
Site: www.procon.sp.gov.br/atendimento_texto.asp
Facebook: www.facebook.com/proconsp
Twitter: @proconspoficial

Dicas
A primeira dica é acompanhar o preço dos produtos antes de comprá-los. Como ensinamos aqui, você pode visualizar o histórico de preços através de sites como o JáCotei, Buscapé ou Baixou. Assim você evita aquelas promoções “tudo pela metade do dobro”, com preços inflados para o desconto parecer imperdível.

Caso o site da loja fique instável, ou se o preço mudar durante a compra, “salve as informações e registre sua reclamação na empresa”. Sempre que possível, guarde uma captura de tela: no Windows 8, pressione as teclas Windows + PrtSc; no OS X, use Command+Shift+3; em outros sistemas, pressione a tela PrintScreen e depois cole a imagem em algum programa de imagens (pode ser até o Paint).

Outra dica importante é salvar tudo o que possa comprovar a compra, incluindo “oferta, pedido, comprovante de pagamento, contrato e anúncios publicitários”.

Seus direitos
O Procon lembra que “o preço promocional não anula seus direitos“: a empresa não pode desrespeitar você só porque cobrou barato por um produto. Se você tiver algum problema, reclame: a loja tem que responder e resolver o problema em até cinco dias.

Se você comprou um produto no calor do momento, mas depois se arrependeu, saiba que você tem até sete dias para cancelar o pedido. A empresa deve estornar 100% do valor, incluindo frete.

E se a entrega demorar? E se o produto vier danificado? O Procon diz que “você pode cancelar a compra ou trocar a mercadoria”; examine-a assim que chegar para notar quaisquer problemas.

No estado de São Paulo, você pode solicitar a entrega agendada sem pagar a mais por isso, escolhendo inclusive o período do dia (manhã ou tarde). No entanto, o prazo para entrega nesse caso é geralmente muito maior. (A entrega agendada também está disponível em outros estados, porém pode custar mais caro.)

A última dica é acompanhar a lista “Evite esses sites” do Procon-SP, com lojas online onde você jamais deve comprar: elas receberam muitas reclamações de consumidores e não responderam a notificações do órgão. No total, estão listados 449 sites, porém a maioria já está fora do ar. Estes 39 sites, no entanto, continuam na ativa – evite-os!

adorocompraronline.com
aikade.com
anabolizantesmaromba.com
baratinhomesmo.com.br
bazardevantagens.com.br
bazarimportado.com.br
bestinformatica.com.br
blocosuperbateria.com.br
bolsadevantagens.com.br
cestacheia.com.br
cosse.com.br
curtiucompra.com
digitalnex.com.br
eumeinteresso.com.br
facildecomprar.com.br
fostonbrasil.com.br
freecomprascoletivas.com
infinityeletroshop.com
jogos3ds.com
kmisetas.com.br
liquidabay.com
lojadoanabol.com
lojadosete.com.br
lucrepelaweb.com
maisbaratomaisbarato.com
menteurbana.com.br
moda4you.com.br
morangao.com.br
ofertasprime.com
oncomprascoletivas.com
pescariaurbana.net
printline.com.br
reidosanabols.com
revendavictoriassecret.com.br
tablet.com.br
topveste.com
totalclique.com
trevoeletro.com.br
uzzetop.com

Agradeço ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo