 |
| Bellacosa Mainframe e o AMOS uma porta dos fundos para roubar dados |
🧠 AMOS: O Ladrão Invisível Que Não Roda no z/OS… Mas Já Pode Estar Roubando Seus Dados
“Você protege seu RACF. Blinda seu CICS. Controla seu batch.
Mas… e o endpoint do seu desenvolvedor COBOL? Quem está protegendo isso?”
☕ Introdução ao Estilo Bellacosa
No mundo do mainframe, existe um mantra silencioso:
“Se está no z/OS, está seguro.”
E na maioria das vezes… está mesmo.
Mas aqui vai o plot twist que poucos analistas seniores querem encarar:
👉 O problema moderno não começa dentro do mainframe. Ele começa fora.
Hoje vamos dissecar uma ameaça real, atual e crescente:
🔥 Atomic Stealer (AMOS)
🧬 O que é o AMOS (Atomic Stealer)?
O Atomic Stealer, também conhecido como AMOS, é um malware do tipo infostealer, projetado inicialmente para sistemas macOS — sim, aquele ambiente que muitos ainda chamam de “seguro por padrão”.
Ele atua roubando:
- Credenciais (navegadores, FTP, SSH)
- Cookies de sessão
- Carteiras de criptomoedas
- Tokens de autenticação
- Dados sensíveis armazenados localmente
👉 Em outras palavras:
Ele não invade o mainframe… ele invade quem acessa o mainframe.
🧠 A Nova Superfície de Ataque do z/OS
Você, analista COBOL sênior, já domina:
- RACF
- ACF2 / Top Secret
- Segurança de dataset
- Auditoria SMF
- Controles de acesso CICS/DB2
Mas me responda com franqueza:
👉 Você controla o notebook do desenvolvedor que acessa o TSO?
👉 Você audita o browser onde está o plugin de emulador 3270?
👉 Você garante que tokens de sessão não estão sendo roubados?
Se a resposta for “não totalmente”…
Então o AMOS já encontrou um ponto de entrada.
🕵️♂️ Anatomia do Ataque
O AMOS não precisa de APF autorizado.
Ele não precisa de IPL.
Ele não precisa nem saber o que é um dataset VSAM.
Ele funciona assim:
🔓 1. Engenharia Social
- Usuário baixa software pirata, plugin ou update falso
- Ou acessa link malicioso (phishing)
🧬 2. Execução Silenciosa
- Malware roda no endpoint (Mac/Windows)
- Coleta credenciais, cookies, tokens
📤 3. Exfiltração
- Dados enviados para servidores do atacante
🎯 4. Uso Inteligente
- Hacker usa sessão válida
- Acessa sistemas corporativos como usuário legítimo
👉 Inclusive:
- Acessos TSO
- Ferramentas FTP para datasets
- APIs REST via z/OS Connect
⚠️ O Impacto no Mundo Mainframe
“Mas o z/OS não foi invadido…”
Correto.
👉 Mas os dados foram.
E isso muda tudo.
💥 Possíveis impactos:
- Vazamento de dados sensíveis (clientes, contas, CPF)
- Acesso indevido a sistemas batch
- Execução de jobs maliciosos
- Exfiltração de arquivos via FTP/SFTP
- Comprometimento de credenciais privilegiadas
⚖️ LGPD: Onde o Problema Fica Sério
No contexto da Lei Geral de Proteção de Dados:
👉 Não importa onde ocorreu a falha.
Se houve vazamento de dados pessoais:
- A empresa é responsável
- Pode sofrer multas
- Pode ter dano reputacional severo
E aqui vem a bomba:
“Mas foi no notebook do desenvolvedor…”
👉 Irrelevante para a LGPD.
🔍 Auditoria: O Que Você NÃO Está Vendo
Ferramentas clássicas de auditoria no z/OS:
- SMF
- RACF logging
- CICS journaling
Elas vão mostrar:
✔ Login válido
✔ Acesso autorizado
✔ Comandos corretos
👉 Ou seja:
Tudo parece normal.
Porque o atacante está usando:
A identidade legítima do usuário.
🧠 O Paradoxo da Segurança Mainframe
O mainframe continua sendo o ambiente mais seguro.
Mas…
👉 A confiança no perímetro humano virou o elo fraco.
🛡️ Controles que um Analista COBOL Sênior Precisa Entender
Você não precisa virar especialista em cibersegurança.
Mas precisa evoluir sua visão.
🔐 1. Zero Trust
- Nunca confiar implicitamente no usuário
- Validar continuamente identidade e contexto
🔑 2. MFA (Multi-Factor Authentication)
- TSO
- VPN
- Ferramentas de acesso
🧾 3. Monitoramento Comportamental
- Detectar acessos fora do padrão
- Horários incomuns
- Volume anormal de leitura de datasets
🧬 4. Proteção de Endpoint
- Antimalware corporativo
- EDR (Endpoint Detection and Response)
📡 5. Segmentação de Acesso
- Limitar privilégios
- Evitar acessos amplos desnecessários
🧠 Curiosidades & Easter Eggs
💡 AMOS é vendido como serviço (Malware-as-a-Service)
👉 Hackers “alugam” o malware — modelo parecido com SaaS.
💡 Foco inicial em macOS
👉 Porque muitos profissionais de TI usam Mac… incluindo devs mainframe.
💡 Interface amigável para criminosos
👉 Painel web para visualizar dados roubados.
💡 Tokens são mais valiosos que senhas
👉 Permitem acesso sem autenticação adicional.
🧨 O Problema Ético
Aqui vai uma reflexão forte:
👉 O analista COBOL tradicional sempre confiou no ambiente controlado.
Mas agora…
- Seu código pode ser seguro
- Seu JCL pode estar perfeito
- Seu RACF pode estar blindado
E mesmo assim…
Seus dados podem estar sendo vendidos na dark web.
🧭 Conclusão: O Novo Papel do Analista Mainframe
O analista COBOL sênior de hoje precisa ser:
- Técnico ✔
- Experiente ✔
- Consciente de segurança moderna ✔✔✔
Porque o jogo mudou:
O ataque não vem mais pelo JCL…
Vem pelo clique do usuário.
🚀 Provocação Final
👉 Você revisa seu código COBOL com atenção extrema.
Mas…
Você já revisou o ambiente onde esse código é acessado?
