Por Caique Barqueta: Brasil forma parte de los países que más sufren ciberataques en el mundo, un escenario que se ha agravado tras la pandemia y el momento global relacionado con el conflicto armado entre Ucrania y Rusia.
Estar al día con las principales amenazas en Brasil es cada vez más importante y puede permitirle estar un paso por delante de posibles ataques, así como actuar con mayor rapidez y eficacia para detectar dichas amenazas y evitar impactos e incidentes que podrían resultar en daños y pérdidas.
A continuación, enumeramos las principales ciberamenazas recurrentes identificadas por el equipo de Inteligencia de ISH, Heimdall.
Huelga de cobalto
Hemos detectado 1768 servidores que hacen un uso malicioso de Cobalt Strike. Utilizan kits de herramientas que permiten a los atacantes desplegar"balizas"en dispositivos comprometidos para realizar vigilancia remota de la red o ejecutar comandos.
A continuación puede ver la distribución en el mapa:
Fuerza bruta SSH
Detectamos, en el mismo periodo, 2180 amenazas de tipo Fuerza bruta SSH. SSH se utiliza para inicios de sesión remotos, ejecución de comandos, transferencias de archivos, etc. El ataque de fuerza bruta SSH lo realiza un actor de amenaza que intenta iniciar sesión con un nombre de usuario y contraseña comunes en varios servidores hasta obtener un resultado positivo.
A continuación puede ver la distribución en el mapa:
Direcciones IP
Otro rastro principal que dejan los actores de amenazas y que ayuda a identificar es la dirección IP, que se considera un dato muy valioso para rastrear y estudiar a los actores de amenazas con el fin de protegerse del dominio y la dirección IP considerados maliciosos.
ISH recopila y analiza diariamente la actividad maliciosa de estos principales infractores según la siguiente impresión, en la que del 01/10 al 01/11 recopilamos y analizamos 52.667 direcciones IP maliciosas que se compartieron rápidamente con los clientes a través de MISP.
Tras presentar las principales amenazas, vulnerabilidades y direcciones maliciosas, en ISH abordaremos una amenaza más que ha vuelto, esta vez como malware de tipo post-pago: Prilex.
Malware Prilex
Los actores de amenazas conocidos como Prilex han estado activos desde mediados de 2014, cuyas muestras y artefactos maliciosos tenían como objetivo llevar a cabo fraudes con tarjetas de crédito. Sin embargo, en 2016 se identificó y vinculó la campaña dirigida a cajeros automáticos aquí en Brasil.
En 2017, este actor de amenazas cambió sus ataques a cajeros automáticos por ataques a dispositivos de punto de venta (PoS), es decir, las máquinas utilizadas para realizar pagos a través de tarjetas de crédito y débito.
Noticias
La primera campaña identificada de los agentes fue en 2014, cuando asaltaron cientos de cajeros automáticos en todo Brasil. Los agentes utilizaron un dispositivo blackbox configurado con un módem USB 4G para controlar remotamente la máquina. Esta caja negra estaba conectada físicamente al cajero automático y su propósito real era servir como puerta trasera con la intención de secuestrar la conexión inalámbrica de la máquina y atacar los otros cajeros automáticos que estaban en el mismo segmento de red.
Ya en 2017 se identificó otra campaña, esta vez no se llevó a cabo en cajeros automáticos, sino en sistemas de puntos de venta. Los agentes interceptaban las transacciones para capturar el criptograma utilizado en la transacción EMV y realizar un ataque de repetición. El malware era capaz de capturar datos de Track 2 y detalles de la tarjeta que posteriormente se reenviaban a los servidores C2 del grupo.
A mediados de julio de 2020, se localizó otra campaña del grupo destinada a proporcionar el software malicioso de TPV a otros actores maliciosos, que compraron el malware y lo utilizaron como una especie de MaaS(Malware-as-a-Service).
Funcionamiento del grupo
En cuanto al modus operandi de Prilex para los dispositivos tipo cajero automático, se identificó el uso de una"caja negra"conectada a la red, que permitía al atacante instalar el malware en los ordenadores de forma remota. En este tipo de ataque, los agentes conocían las credenciales de acceso de los administradores, lo que sugiere un posible"infiltrado" dentro de las entidades financieras afectadas.
Con el nuevo método de ataque, que utiliza software malicioso posterior al pago (PoS), los actores maliciosos se ponen en contacto con las empresas que utilizan un determinado servicio alegando ser soporte de software y piden a las víctimas que instalen una actualización crítica en el sistema.
La actualización instalada es un software de conexión/administración remota, como Team Viewer o AnyDesk, que ayuda al agente malicioso a controlar remotamente el sistema.
Después, aprovechan las funciones de enganche utilizadas por el software encargado de gestionar las transacciones con tarjeta para capturar y modificar los datos que se transfieren entre el software y el pinpad. Este tipo de ataque tiene dos versiones con diferentes métodos de fraude:
- Recoger el criptograma de la transacción para realizar ataques de repetición.
- Generar nuevos criptogramas de tarjetas que serán utilizados posteriormente por los atacantes.
Los afiliados a este agente de la amenaza, tras recopilar la información, la reciben a través de una herramienta de aplicación llamada "Daphne", utilizada para clonar tarjetas, y también reciben acceso a una base de datos que contiene los números de las tarjetas.
Los actores de la amenaza disponen de un sitio web para llevar a cabo la venta del malware en la Deep Web, como muestra la imagen inferior del sitio.
En la descripción del malware ofrecida por el grupo, afirman que el desarrollado por los agentes puede realizar la clonación de tarjetas, lo que puede utilizarse para retirar efectivo y realizar compras diversas.
Otro tipo de amenaza revelada por el grupo es la venta de máquinas TPV comprometidas, es decir, utilizadas para leer tarjetas de crédito y débito insertadas a través de"shimmers", que se introducen en las máquinas. Llevan incrustado un microchip que acaba robando y almacenando los datos de las tarjetas de crédito y débito cada vez que una persona utiliza su tarjeta para efectuar un pago o retirar efectivo.
Los datos del chip de la tarjeta se almacenan en el dispositivo y, a continuación, se envían directamente por SMS, por lo que se puede controlar a distancia.
Servicio de ataques DDoS
El agente de amenazas Prilex también ofrece en su página web la disponibilidad y venta del servicio de ataques DDoS, es decir, el usuario puede comprar la orden de ataques DDoS (Distributed Denial of Service), donde es necesario ponerse en contacto con los agentes para utilizar el servicio.
Cómo funcionan los TPV
Un dispositivo TPV está conectado a un ordenador, que puede ser un ordenador normal o uno que tenga un sistema operativo específico para TPV, y tiene instalado un software TPV, que puede ser del proveedor que creó el dispositivo. El software de la máquina puede leer la información de la tarjeta de pago introducida en el dispositivo TPV, pudiendo extraer información como el número de tarjeta, su validez, etc., e incluso puede validar la tarjeta conectándose al servidor de procesamiento de pagos.
Con ella, la información se almacena en nuestras tarjetas de pago de una manera específica. La tarjeta de pago tiene una banda magnética dividida en tres: 1, 2 y 3. Estas bandas contienen diversos tipos de información, como el número de cuenta principal, el nombre del titular, la fecha de caducidad y otros datos necesarios para realizar el método de pago.
Por ejemplo, la pista 1 de la tarjeta tiene el formato que se ilustra a continuación:
Para una mejor comprensión, hemos creado una tabla para que sea posible identificar los datos transmitidos:
| % | Indica el inicio de la pista 1. |
| B | Indica tarjeta de crédito o débito |
| PN | Indica el número de cuenta principal (NCP) y puede contener hasta 19 dígitos. |
| ^ | Separador |
| LN | Indica el apellido del titular |
| \ | Separador |
| FN | Indica el nombre del titular |
| ^ | Separador |
| AAMM | Indica la fecha de caducidad de la tarjeta en formato de año y fecha |
| SC | Código de servicio |
| DD | Datos discrecionales |
| ? | Indica el final de la pista 1 |
Los datos de la pista deben aparecer como sigue %B12345678901234^ULTIMONOME/PRIMEIRONOME^2203111001000111000000789000000?
Con esto, el software del TPV puede leer esta información de la tarjeta que se pasa en el dispositivo y almacenar la información en su memoria virtual. A continuación, utiliza esta información almacenada en la memoria para llevar a cabo el proceso de pago, que incluye la autenticación seguida de la transacción.
Indicadores de compromiso
| Md5 |
| 23b5740cc655de46d5f46ffdb78a9da0 |
| 7ab092ea240430f45264b5dcbd350156 |
| 64464d5e9049375a8417497f387b73d7 |
| 5aba9e5407ce6e84d17aaf922a70e747 |
| d130ef499a395a0cc53d750c2955a075 |
| 34fb450417471eba939057e903b25523 |
| 26dcd3aa4918d4b7438e8c0ebd9e1cfd |
| f5ff2992bdb1979642599ee54cfbc3d3 |
| af063af98b5332792d8e611b239533e1 |
| 7ae9043778fee965af4f8b66721bdfab |
| ba3554dcce534ce15f88543fb864b4c2 |
| 5387f11dbc06260049a1a92d1912a160 |
| 1432980adc8c6b268a3c50803dbe295a |
| 37894433ba79853954d3f5f1209dd1a |
| f9d5f011ac902d1eef129f3f6253147c |
| 22dc6744cf0f0a361e5ed81f2f9f4712 |
| 570a09a349345fd6f2e615b9f3294b1 |
| ac6d36647b90d7b4f9c3835620e1e0ae |
| 92ce37c9d99bca5e3882027757f75c22 |
| 17c010884dc1b2b16446a2ed42c89ed5 |
| SHA1 |
| ba8fefbe6963f108fd331f25a9ca98d9026412b9 |
| 7fb775e50b2b9e0b6de4cb490bdf03881abe9260 |
| 927225fec81ac77265945e612c19428ac49070e7 |
| f617627412d1225b62ceb0f0f518ce8bed0a96cc |
| 1bf7777bb8fe517cc438d30a3c9c86980ac09517 |
| 9902e8e7adae0a1100d24f7ed6e609fad3ad0dcf |
| 4493eb7428384c62611a7ca5cc5d5a378926c169 |
| 872397b3ac67821b1aa23cf6b4efaf9115b2d715 |
| 48cefb85cf40fbeb6ea11aeacd184bbeb23ee5f8 |
| 167375e0eb4ef26ca642ace014d2ad18c26eca1f |
| 0067866ecd10cec791fa4b1af52e84825e5456cb |
| e47c2748f1d5a5410d184d8588e1027613fb2e45 |
| SHA256 |
| 669bc5b9995b1cd76e5fb59925158c25c8da7ab9b6a5650088757ad5d730b223 |
| 0cf96b659642809cc968e491622becfa5e7e4f8f623b9bc27ad3f9241cb4ff35 |
| 90739b847406e362f73d49e48b8bf366276eea2ec750aa535b6ab6f3fadff294 |
| b3af54f8ea2e08f9ef4069fa4f87f22960cbb84519a1a86487acb82214f0995a |
| 605481bd2e37f0212637653273d866a3c47ee72cfde7207d915ffe6e5093b28e |
| 5cc18fa2204e0bee1f70b53af1fabe03ecce2b2b5e8baecb6fcfc76d2e8395c7 |
| a1ee1a386472493735f772e87e31c44bbacc058d37faade1a8ded4e2abb83939 |
| 36e1bde1c7e2acca43895799ec23e8a13cffa0dd52d0c72e888926971f2f2476 |
| 7e44f74993781edc47017a243be7bbe1ab3439f37760e50db29788f5646fcb57 |
| cb74e08d23c70dde7f6efebfee49563e569ccfff1541c9d5d96842fc8e8926b3 |
| 5eff328e4227ffdddf1f018b56fc3d8d8d65fbfcddb60fa52aa523f160b739dd |
| 92e9ee53617b649dc3d1f57183b727f0274607f17e372b4fe5d5880c587eaa66 |
| Direcciones IP y URL |
| daphne.ddns.es |
| daphne1.ddns.es |
| daphne2.ddns.es |
| daphne1.sytes.net |
| daphne2.sytes.net |
| newbackup3.sytes.net |
| newtefssh.sytes.net |
| prdxtefwork.sytes.net |
| samsystem.ddnsking.com |
| prdxboss3.ddns.net |
| prdxboss2.ddns.net |
| prdxboss1.ddns.net |
| prdxboss1.chickenkiller.com |
| newtefssh.sytes.net |
| newbackup3.sytes.net |
| http://prdxboss1.chickenkiller.com:10003 |
| olddossys.mooo.com |
| prdxboss1.chickenkiller.com |
Identificación de ataques a TPV
Tras describir con más detalle el agente de la amenaza Prilex, se exponen algunas medidas que pueden utilizarse y adoptarse con el fin de identificar el malware de pospago.
El malware puede identificarse por el conjunto de API que utiliza y esto puede lograrse mediante el análisis dinámico de artefactos maliciosos. El malware en tiempo de ejecución realiza un escaneo de la memoria del proceso de software del TPV, para lo cual primero necesita buscar en el sistema.
Las funciones API utilizadas por la mayoría del malware de TPV utilizan las funciones:
- CrearHerramientaAyuda32Snapshot
- Proceso32PrimeroW
- Proceso32SiguienteW
- NtOpenProcess
- ReadProcessMemory
En los registros de su API, puede ver las continuas llamadas a ReadProcessMemory después de que NTOpenProcess. Esto se debe a que los bloques de memoria se leen secuencialmente y luego se analizan en busca del número de tarjeta de crédito y débito, como, por ejemplo, en las siguientes llamadas:
ReadProcessMemory([process_handle]0x000001A4, [base_address]0x00010000) ReadProcessMemory([process_handle]0x000001A4, [base_address]0x00020000) ReadProcessMemory([process_handle]0x000001A4, [base_address]0x0012D000) ReadProcessMemory([process_handle]0x000001A4, [base_address]0x00140000)
Finalmente, podemos ver la importancia de monitorear el ambiente, principalmente por el hecho de identificar nuevas amenazas, para esto, ISH se esfuerza todos los días con el objetivo de monitorear las amenazas y los principales grupos de amenazas y realizar el análisis de los artefactos maliciosos utilizados.
Agentes de amenazas de ataques a puntos de venta
Enumeramos algunas de las principales familias de malware que se dirigen a los ataques a puntos de venta, es decir, en los post-pagos, incluyendo un resumen de sus actividades y consejos de identificación.
- Constantine: puerta trasera utilizada para gestionar las máquinas infectadas y depurar el malware en caso de problema. Este backdoor se utiliza desde las primeras campañas dirigidas a cajeros automáticos.
- PrilexATM: El módulo principal utilizado para dispensar dinero de los cajeros automáticos infectados. Para ello, utiliza tres librerías específicas(P32disp0.dll, P32mmd.dll y P32afd.dl).
- Logus: Un malware de tipo ladrón diseñado para interceptar y recopilar información entre el dispositivo de pago y el software para capturar la información de la tarjeta.
- Ghost: Variante de Stealer Logs, esta versión pide a la tarjeta nuevos cifrados válidos en lugar de reutilizar el original como un ataque de repetición.
- SendKernel/SendCab: Módulo de carga utilizado para cargar la información robada en el servidor del operador.
Referencias:
- Heimdall de ISH Technology
- Material del jefe del boletín, Caique Barqueta
- El regreso de Prilex - Sistemas de punto de venta bajo ataque - Kaspersky Lab
- https://securityaffairs.co/wordpress/137608/malware/pos-malware-stolen-card-data.html
- https://sensorstechforum.com/prilex-pos-malware-2022-attacks/