Cavalo de Troia Flokibot opera criando pequenas botnets tipicamente formadas por menos de 50 máquinas comprometidas
Nas últimas semanas, a equipe de engenharia e resposta a ameaças da Arbor Networks, divisão de segurança da Netscout, detectou e publicou resultado de sua pesquisa sobre o malaware FlokiBot dirigido a máquinas para pagamento com cartão (PDV) no Brasil.
A equipe do Asert (Security Engineering & Response Team), da Arbor, detectou uma campanha do FlokiBot especificamente relacionada a um protocolo de comando e controle (C2) modificado, voltado particularmente a alvos brasileiros e compreendendo máquinas de PDV e sistemas utilizados no processamento de cartões de crédito. No Brasil, o malware opera criando pequenas botnets — tipicamente formadas por menos de 50 máquinas comprometidas.
A primeira informação da Arbor sobre o FlokiBot data de outubro de 2016 e aponta que o cavalo de Troia, derivado do Zeus, estava sendo vendido em fóruns da dark web ao preço de mil dólares — alto preço nesse mercado. Nessa ocasião, a equipe do Asert observou novos recursos, incluindo o C2 modificado, funcionalidade de ataque DDoS (Distributed Denial of Service) e de leitura de memória de cartão de crédito.
Segundo a Arbor, o baixo número de equipamentos infectados para realizar o ataque revela um esquema com alvos determinados, em vez de uma distribuição generalizada do malware por meio de propaganda web ou por mecanismos de fornecimento de kits como commodities. Quanto menos difundido o malware, menores as chances de ele chamar atenção de equipes de segurança e, por conseguinte, de ser descoberto.
“Indivíduos ou empresas que operam sistemas PDV devem estar particularmente atentos ao uso de software de gerenciamento remoto, senhas fracas ou senhas padrão. Também precisam ter cuidado com dispositivos usados por terceiros e empresas subcontratadas para realizar manutenção em seus sistemas”, aconselha Kleber Carriello, consultor sênior da área de engenharia da Arbor Networks no Brasil.
“Conhecer o tráfego da rede, de modo a detectar um volume significativo do tráfego que sai da rede da empresa, ou a conexão de um host da rede interna com algum host suspeito na Internet, é também de extrema importância para evitar danos causados por esse tipo de malware”, completa Carriello.
