s0503-frameworkpos

# FrameworkPOS > Tipo: **POS malware** · S0503 · [MITRE ATT&CK](https://attack.mitre.org/software/S0503) ## Descrição [[s0503-frameworkpos|FrameworkPOS]] (também conhecido como Trinity) é um malware especializado em sistemas de ponto de venda (POS) desenvolvido e utilizado pelo grupo criminoso [[g0037-fin6|FIN6]] para roubo de dados de cartões de pagamento em larga escala. Identificado pela primeira vez em campanhas de 2014, o FrameworkPOS foi empregado em alguns dos maiores vazamentos de dados de cartões da história, incluindo ataques a grandes redes varejistas norte-americanas. O malware opera injetando-se em processos de software POS e varrendo a memória RAM em busca de dados de trilha de cartões antes da criptografia ponto-a-ponto. O mecanismo de operação do [[s0503-frameworkpos|FrameworkPOS]] baseia-se na técnica de "RAM scraping": o malware varre continuamente a memória de processos POS em busca de padrões que correspondam a dados de trilha magnética (Track 1 e Track 2) de cartões de pagamento. Os dados capturados são temporariamente armazenados em arquivos locais em formato comprimido customizado, e posteriormente exfiltrados via protocolos alternativos para minimizar a detecção por sistemas de DLP. O grupo [[g0037-fin6|FIN6]] normalmente obtém acesso inicial via outras ferramentas como [[flawedammyy|FlawedAmmyy]] antes de implantar o FrameworkPOS em terminais POS específicos. A cadeia de comprometimento típica do [[g0037-fin6|FIN6]] envolve meses de reconhecimento após o acesso inicial antes do deploy do FrameworkPOS, demonstrando operações altamente planejadas. O grupo tem histórico de vender os dados roubados em mercados clandestinos como Joker's Stash, onde lotes de milhões de números de cartões eram comercializados. O FIN6 representa uma das ameaças mais significativas ao ecossistema de pagamentos globais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 - Exfiltration Over Alternative Protocol]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] ## Grupos que Usam - [[g0037-fin6|FIN6]] ## Detecção > [!tip] Indicadores de Detecção > - Implementar soluções de proteção de memória de processos POS (whitelisting de processos autorizados a acessar memória de aplicações de pagamento) > - Monitorar processos que acessam ou injetam código em software POS legítimo > - Detectar criação de arquivos comprimidos por processos POS ou em diretórios de aplicações POS > - Alertar sobre conexões de rede para endereços não-autorizados a partir de terminais POS (segmentar rede POS é crítico) > - Monitorar presença de ferramentas de reconhecimento (como [[flawedammyy|FlawedAmmyy]]) como precursor de implantação POS ## Relevância LATAM/Brasil O Brasil possui um dos maiores ecossistemas de pagamentos com cartão do mundo, com bilhões de transações anuais e uma rede massiva de terminais POS. O setor de varejo, food service, postos de combustível e turismo são particularmente vulneráveis ao FrameworkPOS e similares. O [[g0037-fin6|FIN6]] tem histórico documentado de operações na América Latina, e o crescimento do e-commerce brasileiro expandiu a superfície de ataque para sistemas de pagamento online. A regulamentação PCI-DSS, embora amplamente adotada, não previne comprometimentos de terminais em ambientes onde o acesso físico e a segmentação de rede são inadequados. ## Referências - [MITRE ATT&CK - S0503](https://attack.mitre.org/software/S0503)