Translate

segunda-feira, 16 de dezembro de 2024

🧠 AMOS: O Ladrão Invisível Que Não Roda no z/OS… Mas Já Pode Estar Roubando Seus Dados

 

Bellacosa Mainframe e o AMOS uma porta dos fundos para roubar dados

🧠 AMOS: O Ladrão Invisível Que Não Roda no z/OS… Mas Já Pode Estar Roubando Seus Dados

“Você protege seu RACF. Blinda seu CICS. Controla seu batch.
Mas… e o endpoint do seu desenvolvedor COBOL? Quem está protegendo isso?”

☕ Introdução ao Estilo Bellacosa

No mundo do mainframe, existe um mantra silencioso:

“Se está no z/OS, está seguro.”

E na maioria das vezes… está mesmo.

Mas aqui vai o plot twist que poucos analistas seniores querem encarar:

👉 O problema moderno não começa dentro do mainframe. Ele começa fora.

Hoje vamos dissecar uma ameaça real, atual e crescente:

🔥 Atomic Stealer (AMOS)

🧬 O que é o AMOS (Atomic Stealer)?

O Atomic Stealer, também conhecido como AMOS, é um malware do tipo infostealer, projetado inicialmente para sistemas macOS — sim, aquele ambiente que muitos ainda chamam de “seguro por padrão”.

Ele atua roubando:

  • Credenciais (navegadores, FTP, SSH)
  • Cookies de sessão
  • Carteiras de criptomoedas
  • Tokens de autenticação
  • Dados sensíveis armazenados localmente

👉 Em outras palavras:
Ele não invade o mainframe… ele invade quem acessa o mainframe.

🧠 A Nova Superfície de Ataque do z/OS

Você, analista COBOL sênior, já domina:

  • RACF
  • ACF2 / Top Secret
  • Segurança de dataset
  • Auditoria SMF
  • Controles de acesso CICS/DB2

Mas me responda com franqueza:

👉 Você controla o notebook do desenvolvedor que acessa o TSO?

👉 Você audita o browser onde está o plugin de emulador 3270?

👉 Você garante que tokens de sessão não estão sendo roubados?

Se a resposta for “não totalmente”…

Então o AMOS já encontrou um ponto de entrada.

🕵️‍♂️ Anatomia do Ataque

O AMOS não precisa de APF autorizado.
Ele não precisa de IPL.
Ele não precisa nem saber o que é um dataset VSAM.

Ele funciona assim:

🔓 1. Engenharia Social

  • Usuário baixa software pirata, plugin ou update falso
  • Ou acessa link malicioso (phishing)

🧬 2. Execução Silenciosa

  • Malware roda no endpoint (Mac/Windows)
  • Coleta credenciais, cookies, tokens

📤 3. Exfiltração

  • Dados enviados para servidores do atacante

🎯 4. Uso Inteligente

  • Hacker usa sessão válida
  • Acessa sistemas corporativos como usuário legítimo

👉 Inclusive:

  • Acessos TSO
  • Ferramentas FTP para datasets
  • APIs REST via z/OS Connect

⚠️ O Impacto no Mundo Mainframe

“Mas o z/OS não foi invadido…”

Correto.

👉 Mas os dados foram.

E isso muda tudo.

💥 Possíveis impactos:

  • Vazamento de dados sensíveis (clientes, contas, CPF)
  • Acesso indevido a sistemas batch
  • Execução de jobs maliciosos
  • Exfiltração de arquivos via FTP/SFTP
  • Comprometimento de credenciais privilegiadas

⚖️ LGPD: Onde o Problema Fica Sério

No contexto da Lei Geral de Proteção de Dados:

👉 Não importa onde ocorreu a falha.

Se houve vazamento de dados pessoais:

  • A empresa é responsável
  • Pode sofrer multas
  • Pode ter dano reputacional severo

E aqui vem a bomba:

“Mas foi no notebook do desenvolvedor…”

👉 Irrelevante para a LGPD.

🔍 Auditoria: O Que Você NÃO Está Vendo

Ferramentas clássicas de auditoria no z/OS:

  • SMF
  • RACF logging
  • CICS journaling

Elas vão mostrar:

✔ Login válido
✔ Acesso autorizado
✔ Comandos corretos

👉 Ou seja:
Tudo parece normal.

Porque o atacante está usando:

A identidade legítima do usuário.

🧠 O Paradoxo da Segurança Mainframe

O mainframe continua sendo o ambiente mais seguro.

Mas…

👉 A confiança no perímetro humano virou o elo fraco.

🛡️ Controles que um Analista COBOL Sênior Precisa Entender

Você não precisa virar especialista em cibersegurança.

Mas precisa evoluir sua visão.

🔐 1. Zero Trust

  • Nunca confiar implicitamente no usuário
  • Validar continuamente identidade e contexto

🔑 2. MFA (Multi-Factor Authentication)

  • TSO
  • VPN
  • Ferramentas de acesso

🧾 3. Monitoramento Comportamental

  • Detectar acessos fora do padrão
  • Horários incomuns
  • Volume anormal de leitura de datasets

🧬 4. Proteção de Endpoint

  • Antimalware corporativo
  • EDR (Endpoint Detection and Response)

📡 5. Segmentação de Acesso

  • Limitar privilégios
  • Evitar acessos amplos desnecessários

🧠 Curiosidades & Easter Eggs

💡 AMOS é vendido como serviço (Malware-as-a-Service)
👉 Hackers “alugam” o malware — modelo parecido com SaaS.

💡 Foco inicial em macOS
👉 Porque muitos profissionais de TI usam Mac… incluindo devs mainframe.

💡 Interface amigável para criminosos
👉 Painel web para visualizar dados roubados.

💡 Tokens são mais valiosos que senhas
👉 Permitem acesso sem autenticação adicional.

🧨 O Problema Ético

Aqui vai uma reflexão forte:

👉 O analista COBOL tradicional sempre confiou no ambiente controlado.

Mas agora…

  • Seu código pode ser seguro
  • Seu JCL pode estar perfeito
  • Seu RACF pode estar blindado

E mesmo assim…

Seus dados podem estar sendo vendidos na dark web.

🧭 Conclusão: O Novo Papel do Analista Mainframe

O analista COBOL sênior de hoje precisa ser:

  • Técnico ✔
  • Experiente ✔
  • Consciente de segurança moderna ✔✔✔

Porque o jogo mudou:

O ataque não vem mais pelo JCL…
Vem pelo clique do usuário.

🚀 Provocação Final

👉 Você revisa seu código COBOL com atenção extrema.

Mas…

Você já revisou o ambiente onde esse código é acessado?


Publicada por à(s)
Etiquetas: , , , , , , , , , , , , , , , ,

Sem comentários:

Enviar um comentário

Subscrever: Enviar feedback (Atom)