Malware brasileiro faz escola na Europa

Segundo a Kaspersky, ataque que afetou pelo menos oito bancos na Europa usa uma técnica já conhecida no Brasil e na América Latina.

Os especialistas da Kaspersky Lab investigaram no último um ano e meio uma série de ataques contra organizações financeiras na Europa Oriental que violaram as redes dessas empresas por meio de dispositivos desconhecidos controlados pelos invasores.

Os aparelhos usados nos roubos incluem um laptop, um Raspberry Pi e um Bash Bunny (ferramenta especialmente projetada para automatizar e realizar ataques via USB).

Até o momento, aponta a empresa de segurança, pelo menos oito bancos foram atacados desta forma naquela região, com prejuízos estimados em dezenas de milhões de dólares.

Técnica conhecida

No entanto, a Kaspersky destaca que essa técnica usada nos roubos na Europa Oriental não é novidade na América Latina. Desde 2014, a região enfrenta um golpe chamado Prilex, que começou sendo usado em ataques contra caixas eletrônicos e depois passou a ser adotado em roubos de roubar cartões de crédito protegidos por senha e chip via sistemas de ponto de venda (POV).

De acordo com o analista sênior de segurança da companhia na América Latina, Fabio Assolini, o malware brasileiro utiliza um blackbox e um modem 3G para viabilizar os ataques aos caixas eletrônicos.

“Ataques de blackbox têm se tornado cada vez mais comuns contra grandes e médias empresas. Eles exploram falhas na segurança física e pontos de redes expostos, que possibilitam um ataque que comprometerá o ambiente digital da empresa, no melhor estilo “Mr. Robot”, explica o especialista.

Como a variação do Prilex funciona

Com o foco em cartões, tanto de credito quanto débito, essa variação do Prilex se tornou uma ameaça por alcançar inclusive cartões padrão chip-e-PIN, ou seja, cartões com senha e por atingir diretamente sistemas e maquinas de cartão. Então seja você, uma loja, um supermercado, posto de gasolina ou um e-commerce, vale a atenção.

Segundo a Kaspersky Lab, a infecção ocorre principalmente por spam, que são aqueles e-mails suspeitos que muitas vezes carregam arquivos maliciosos. Quando o arquivo malicioso é baixado, ele solicita a execução de uma atualização através de um servidor remoto para ser instalado e assim atingir os chamados softwares de pontos de venda (POS), usados nesses casos para controle de vendas através de cartões e é ai que o malware chega as maquininhas e age usando 3 componente principais.

  1. O primeiro é um malware, que quando infecta a maquina, modifica o software POS para interceptar informações do cartão de credito utilizado.
  2. O outro é um servidor, que é usado para armazenar e gerenciar todas as informações obtidas ilegalmente.
  3. O terceiro e último componente, é um aplicativo, usado pelos clientes do Malware, para que possam visualizar, clonar e salvar as informações coletadas.

Ou seja, é uma baita estrutura! O prilex tem o que o “cliente” precisa para facilitar o uso do malware.

Como se proteger

Independente do cartão usado, seja de chip, tarja magnética ou PIN, seu cliente pode ser vítima. Por isso trouxemos algumas dicas simples da própria Kaspersky para evitar transtornos para você que é comerciante ou empresário e que usa as maquininhas de cartão e também para os usuários que fazem suas compras tanto online quanto offline.

Dica 1: Para quem tem comercio, vale a atenção para nunca abrir anexos de e-mail suspeitos e desconhecidos, a dica vale principalmente para as maquinas que estão ligadas diretamente ao ponto de venda.

Dica 2: Existem também outros métodos de pagamento que usam ao invés do cartão, o próprio aparelho de celular para efetivar compras, como o Android Pay ou Apple Pay, que armazena os dados do cartão no aplicativo e não troca de informações com máquina de cartão.

Dica 3: Mais uma dica, e essa vai para os usuários, fique atento as transações e aquelas notificações do que chegam no celular, qualquer comportamento ou gasto suspeito vale uma conferida.

Fontes: IDGNow! e Buysoft

Malware para pontos de venda cresce de forma preocupante no Brasil

pdvNovas amostras de malware para ponto de venda (PDV) estão constantemente sendo criadas. Seja pela necessidade de evitar a detecção por antivírus ou pelo desejo de ser mais funcional e modular, essas amostras são desenvolvidas com uma velocidade incrível, infectando os terminais, um IP por vez.

Recentemente, enquanto investigávamos sites clandestinos, um anúncio em um fórum da “Dark Web” chamou nossa atenção. O post mencionava um novo malware PDV que estava sendo vendido por seu criador. Um único arquivo .exe era particularmente caro, a um valor de 18 BTCs (no momento em que este artigo é escrito), mas ele parece ser bem projetado e suportar diversas funcionalidades. Este é FighterPOS, como o chamamos, e cujos recursos detalhamos a seguir.

Aquisição
Qualquer pessoa que deseja comprar um malware PDV não precisa procurar por muito tempo.

Porém, encontrar amostras e painéis novos e indetectáveis são mais difíceis de encontrar. Enquanto pesquisávamos a “Deep Web”, descobrimos um anuncio publicitário de um novo malware PDV. Apesar de não ser revolucionário, o que chamou nossa atenção foi a natureza profissional e o suporte a funcionalidades do novo malware.

Anúncio publicitário do FighterPOS:

fighterpos_1.1O malware e seu painel de controle estão sendo vendidos por 18,3823 BTCs no momento em que este artigo foi escrito, o que corresponde aproximadamente a $ 5.251,82 dólares. Apesar do valor aparentemente elevado, a oportunidade de recuperar o investimento é relativamente fácil. O comprador poderia revender cada número de cartão de crédito, ou armazená-lo e utilizar para uso próprio. Se o comprador deseja um executável e uma instância do painel adicional, o autor cobra $ 800 dólares a mais.

Painel de Controle do FighterPOS:

fighterpos_2O autor informa explicitamente que os executáveis não são totalmente indetectáveis (FUD), alegando que o usuário precisará de um serviço de criptografia para garantir que o malware não seja detectado por verificadores antivírus. Isso é comum na criação de malware PDV, e serviços de criptografia são geralmente necessários para evitar muitos controles de segurança.

Vítimas
Os dados obtidos a partir dos servidores C&C indicaram que o FighterPOS já infectou cerca de 113 terminais de ponto de venda, mais de 90% foram encontrados no Brasil. Existem evidências de infecção de sistema em outros países, incluindo os Estados Unidos, México, Itália e Reino Unido.

Distribuição de máquinas afetadas pelo FighterPOS:

fighterpos_3.1Juntos, os sistemas infectados enviaram 22.112 depósitos originais de cartões de crédito para um único mês (final de fevereiro e início de abril) para o operador do FighterPOS. Muitas das vítimas de FighterPOS são usuários de sistemas Linx MicroVix ou Linx POS – ambos os conjuntos de softwares populares no Brasil.

Registros das vítimas:

fighterpos_4Os registros do FighterPOS são armazenados num formato indicativo de outras amostras de malware PDV. Os nomes de registro para os cartões de crédito seguem o formato: [D][<machine_id>][<machine name>] .txt.

Arquivos de Registros:

fighterpos_5.1Além disso, os registros de teclas digitadas (keylog) são armazenados no formato: [K] <Logname>.txt. Esses registros são separados por marcação de data (timestamp) com as teclas correspondentes.

Arquivo keylog mostrando conversas por Skype:

fighterpos_6

Funcionalidades do FighterPOS
As funcionalidades do FighterPOS são semelhantes às de outras famílias de malware PDV vistas anteriormente. O autor do executável coleta os dados track1, track2 e códigos de segurança (CVV) dos cartões de crédito. O malware também possui uma funcionalidade “RAM scraping”, encontrada na maioria das famílias de malware PDV. Além disso, seu recurso “keylogger” permite que o agressor registre todas as teclas digitadas no terminal infectado.

Duas amostras de malware que chamaram nossa atenção eram IE.exe (55fb03ce9b698d30d946018455ca2809) e IEx.exe (55fb03ce9b698d30d946018455ca2809). Descobrimos que elas estavam se comunicando com o C2 do malware – hxxp://ctclubedeluta.org/.

Ambas as amostras eram escritas em Visual Basic 6. Apesar do Visual Basic 6 ser considerado obsoleto e antiquado, ele ainda funciona muito bem, até mesmo em sistemas atualizados. A primeira coisa que o FighterPOS faz é criar uma cópia de si mesmo em outro local para persistência. Em seguida, ele conversa com o painel de administração enviando um email ou um HTTP GET para seu C2, como demonstra a seguinte imagem:

fighterpos_7Após notificar o painel do administrador, o malware implementa uma funcionalidade de controle por meio de um timer que verifica se há novos comandos do C2.

fighterpos_8Existem múltiplos comandos suportados pelo FighterPOS, entre eles:

  • Atualização automática do malware
  • Download e execução de arquivo
  • Envio de dados de cartão de crédito
  • Envio de dados de teclas registradas (keylog)
  • Ataques DDoS Layer 7 ou Layer 4

Os dados extraídos são enviados com criptografia AES para seu C2, por meio de HTTP ou usando “TCP chunks”. Uma funcionalidade adicional inclui a capacidade de realizar ataques DDoS layer 7 e layer 4, por meio de HTTP e UDP “flooding”:

fighterpos_9A funcionalidade DDoS faz com que essa família de malware PDV seja uma plataforma flexível e atraente para compradores em potencial.

fighterpos_10A comunicação comando e controle ocorre num formato muito específico. Por exemplo, quando o keylogger está enviando os dados de volta ao C2, a comunicação parece da seguinte maneira:

hxxp://69.195.77.74/BrFighter/bot/keylogger.php?id=<ID>&com=<ID>&key={data}

Além disso, quando o coletor de cartão de crédito está ativo, a comunicação parece assim: hxxp://69.195.77.74/BrFighter/bot/dumper.php?id=<ID>&log={DATA}

Conclusão
O FighterPOS é um malware completo, projetado cuidadosamente e com forte criptografia. Ele suporta múltiplas formas de comunicação com sua infraestrutura de comando e controle, suporta o registro de teclas (keylogging), permite ataques DDoS, e suporta controle total das máquinas infectadas.

Estamos continuamente avaliando essa ameaça, e ainda estamos pesquisando não apenas a família de malware, mas também a infraestrutura de comando e controle. Essa informação e a análise de outra nova família de malware PDV serão anunciadas num relatório em breve.

Todas as amostras mencionadas neste blog são detectadas com o nome HS_POSFIGHT.SM

Indicadores de Comprometimento

Hashes

55fb03ce9b698d30d946018455ca2809 IE.exe

af15827d802c01d1e972325277f87f0d IE.exe

361b6fe6f602a771956e6a075d3c3b78 IE.exe

b99cab211df20e6045564b857c594b71 IE.exe

e647b892e3af16db24110d0e61a394c8 IEx.exe

C2

hxxp://ctclubedeluta.org/

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trendmicro blog

Malware está roubando dados em pontos de venda

Malware_Dexter

Malware infiltrou-se em milhares de máquinas nas últimas semanas, segundos especialistas da empresa Seculert

Pesquisadores da empresa de segurança israelense Seculert identificaram um malware personalizado que infectou centenas de ponto de venda (PoS) de empresas em 40 países durante os meses passados e roubou dados de milhares de cartões utilizados em pagamentos.

PoS são sistemas utilizados para efetuar uma transação em locais de vendas, como restaurantes, bares, hoteis e lojas. Caixas registradoras, máquinas de cartão de crédito e outros teminais eletrônicos são sistemas PoS.

O malware foi apelidado de Dexter após uma sequência de texto ser encontrada em alguns de seus componentes e depois de infectar sistemas PoS baseados em Windows pertencentes a grandes nomes do varejo, hoteis, restaurantes e até mesmo estacionamentos privados, disseram os pesquisadores da Seculert, em um post publicado no blog da empresa.

Os pesquisadores da companhia identificaram uma amostra do malware Dexter enquanto investigavam outras ameaças, disse o chefe do departamento de tecnologia Aviv Raff, também na terça-feira. Depois de analisá-lo, os especialistas foram capazes de obter acesso a um servidor de comando e controle hospedado na República das Seicheles, onde o malware fez o upload dos dados de cartões roubados, disse.

O malware Dexter envia uma lista dos processos em execução do sistema infectado para o servidor de comando e controle, disse Raff. Os crackers, então, verificam se algum desses processos correspondem a um software PoS específico e, em caso positivo, eles instruem o malware para despejar sua memória e fazer o upload dos dados para o servidor.

A memória despejada é, então, analisada com uma ferramenta online que é executada no servidor e pode extrair os dados “Track 1” e “Track 2” dos cartões. Estes dados se referem a informações escritas sobre as faixas magnéticas dos cartões e podem ser usadas para cloná-los, explicou Raff.

Desde que o ataque está em curso, é difícil determinar exatamente quantos sistemas de PoS foram comprometidos até o momento, mas é provável que o número fique entre 200 e 300, disse Raff. O total de cartões comprometidos é igualmente difícil de estimar, mas milhares deles parecem ter sido comprometidos só nas últimas semanas, disse ele.

De acordo com as estatísticas coletadas a partir do servidor de comando e cotrole, 30% dos sistemas PoS infectados estão localizados nos EUA, 19% no Reino Unido e 9% no Canadá. No entanto, empresas da Holanda, Espanha, África do Sul, Itália, França, Rússia, Polônia, Brasil, Turquia e outros países também foram afetadas, o que leva a crer que o cenáro é de uma verdadeira operação criminosa internacional.

A origem dos crackers ainda não está clara, mas as sequências encontradas no malware sugerem que os desenvolvedores são fluentes em inglês, disse Raff. Os desenvolvedores tendem a usar palavras de sua própria língua em códigos, especialmente quando eles criam ferramentas personalizadas como esta, disse.

Um pouco mais de 50% dos sistemas infectados executam o Windows XP, 17% rodam Windows Home Server, 9% o Windows Server 2003 e 7% executam o Windows 7.

O método utilizado para infectar os sistemas não foi determinado, mas dado o fato de que muitos deles rodam o Windows Server e provavelmente não são usados para navegação na Web, Raff acredita que os criminosos provavelmente comprometeram primeiro outros computadores da mesma rede para então infectar os sistemas PoS.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fontes: IDG Now! e  Securelert