s0169-rawpos - RunkIntel

# RawPOS > Tipo: **malware** · S0169 · [MITRE ATT&CK](https://attack.mitre.org/software/S0169) ## Descrição [[s0169-rawpos|RawPOS]] (também conhecido como FIENDCRY, DUEBREW e DRIFTWOOD) é uma família de malware para ponto de venda (POS) que busca e exfiltra dados de titulares de cartões de crédito e débito a partir da memória de terminais POS. Em uso desde pelo menos 2008, é uma das famílias de malware POS mais longevas documentadas. A FireEye divide o RawPOS em três componentes funcionais distintos: FIENDCRY (raspador de memória), DUEBREW (componente de persistência) e DRIFTWOOD (utilitário de comunicação). O [[g0053-fin5|FIN5]] utilizou o RawPOS como ferramenta principal em campanhas contra redes de hospitalidade, varejo e cassinos nos EUA e Canadá. O malware usa scraping de memória para capturar dados de trilha de cartão diretamente da RAM do processo POS - antes que os dados sejam criptografados em trânsito - e os armazena temporariamente em arquivos locais comprimidos com método customizado ([[t1560-003-archive-via-custom-method|T1560.003]]) antes da exfiltração. Para persistência, o RawPOS se registra como serviço Windows ([[t1543-003-windows-service|T1543.003]]) com nomes que imitam serviços legítimos ([[t1036-004-masquerade-task-or-service|T1036.004]]). O RawPOS foi amplamente utilizado entre 2010 e 2018, período em que o roubo de dados de cartão em sistemas POS era um vetor de ataque altamente lucrativo. Com a adoção generalizada de terminais EMV (chip e senha) e tokenização, a eficácia deste tipo de malware diminuiu em mercados maduros, mas permanece relevante em regiões onde a transição para pagamentos modernos é incompleta. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] ## Grupos que Usam - [[g0053-fin5|FIN5]] ## Detecção A detecção do RawPOS em sistemas POS requer monitoramento de serviços Windows com nomes suspeitos ([[t1036-004-masquerade-task-or-service|T1036.004]]) e criação de arquivos comprimidos em diretórios temporários ([[t1560-003-archive-via-custom-method|T1560.003]]). Soluções de segurança específicas para POS com whitelist de processos autorizados são o método mais eficaz - apenas processos POS legítimos devem ter acesso à memória de aplicações de pagamento. Segmentação de rede isolando sistemas POS do restante da rede corporativa limita o escopo de comprometimento. ## Relevância LATAM/Brasil Malware POS como o RawPOS representa uma ameaça direta ao setor de varejo e hospitalidade brasileiro. O Brasil possui um dos maiores volumes de transações com cartão de pagamento do mundo, tornando sistemas POS um alvo de alto valor. A transição para pagamentos PIX e cartões EMV chip-and-pin reduz a eficácia de malware POS baseado em scraping de tarjá magnética, mas estabelecimentos com equipamentos POS antigos ou sem suporte a chip permanecem vulneráveis a esta classe de ataque. O setor de hospitalidade, restaurantes e redes de varejo em expansão são os principais alvos a considerar. ## Referências - [MITRE ATT&CK - S0169](https://attack.mitre.org/software/S0169)