Análisis de malware

Evolución del malware bancario, parte 2

diciembre 26, por Chamán Vilén

Inyecciones web

Esta técnica se utiliza en escenarios donde información crítica como el Número de Seguro Social (SSN) o el Número de Identificación Personal (PIN) no está fácilmente disponible.

Básicamente, las inyecciones web son una técnica para inyectar contenido web no autorizado en datos de respuesta HTTP entrantes.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

La manipulación del contenido de la página web es posible mediante el enlace API del navegador, al igual que la capacidad de captura de formularios discutida anteriormente. El troyano bancario puede inspeccionar el contenido recibido del servidor y modificarlo sobre la marcha antes de mostrarlo en el navegador.

Se trata de una técnica muy potente con la que se puede engañar al usuario, haciéndole creer que el contenido que está viendo lo ha recibido directamente a través de la web de su banco.

Las inyecciones web se pueden utilizar para realizar lo siguiente:

Inyectar contenido HTML como campos de entrada HTML en formularios para solicitar el SSN del usuario, PIN de cajero automático, etc.;
Robar o reescribir cookies de sesiones activas para manipular la sesión activa;
Inyectar código JavaScript para realizar operaciones maliciosas en páginas web tal como se muestran en el navegador;
E inyecte HTML con código JavaScript en sesiones activas para lanzar ataques al Sistema de Transferencia Automatizada (ATS), de los que hablaremos próximamente. Este ataque permite que el malware ejecute transacciones fraudulentas en nombre del usuario sin revelarle ningún detalle. Por ejemplo, el malware puede manipular la información de la cuenta que se muestra al usuario reescribiendo los saldos de la cuenta en el lado del cliente en el navegador.

A continuación se muestra un ejemplo de diferentes inyecciones web que manipulan el HTML de varias páginas de inicio de sesión en un intento de suplantar datos adicionales de los usuarios:

Como ejemplo real, los siguientes datos “webinjects.txt” intentan engañar al usuario para que proporcione su número PIN del cajero automático:

Esta amenaza ha crecido considerablemente. Las reglas de inyección web ahora se venden abiertamente en el mercado negro. Este fenómeno conlleva una estandarización del formato del archivo de configuración de inyección web, y troyanos como SpyEye y Zeus son ahora el estándar de facto.

Inicialmente, las inyecciones web se incrustaban estáticamente en el archivo de configuración binaria durante el tiempo de compilación del malware y estaban sin cifrar. Posteriormente, los ciberdelincuentes comienzan a ofuscar en gran medida estos archivos de configuración y los alojan en el servidor de comando y control (CC) o en un servidor externo y les proporcionan un enlace de origen:

Esta es una gran ventaja porque el objetivo, así como el contenido que se inyectará en la página web, se pueden actualizar fácilmente para aplicar diferentes reglas, dependiendo de qué bot los esté descargando.

Finalmente, a grandes rasgos, existen dos tipos de web-injects a la venta:

Aquellos que tienen capacidades avanzadas como transferencia automática o captura de saldo de cuenta;
Y aquellos que son más simples y presentan sólo una ventana emergente similar a phishing que solicita al usuario datos personales cuando inicia sesión. De hecho, algunos codificadores de inyección web venden funciones dependiendo de las necesidades del cliente, como apuntar a un objetivo financiero específico. institución.

Sistema de Transferencia Automática (ATS)

Los ciberdelincuentes han ido un paso más allá con la ayuda de los ATS (sistemas de transferencia automática). Esta técnica se utiliza junto con archivos de inyección web y permanece casi invisible. Realiza varias tareas, como comprobar los saldos de las cuentas y realizar transferencias bancarias utilizando las credenciales de las víctimas sin alertarlas. Los scripts ATS también modifican los saldos de las cuentas y ocultan transacciones ilegítimas para ocultar rastros de su presencia a las víctimas. Mientras un sistema permanezca infectado con un ATS, su usuario no podrá ver las transacciones ilegítimas realizadas desde sus cuentas.

Existen dos tipos de ETA:

Parte de la información, como el servidor remoto al que el script envía los datos de la transacción (es decir, si la transacción fue exitosa o no), se indica claramente incluso en archivos de inyección web simples.

Por otro lado, los archivos de inyección web muy complejos contienen toda la información que el script necesita para funcionar, acceder y realizar tareas relacionadas con ATS.

A medida que crecía el fraude en línea, los bancos aumentaron sus medidas de seguridad. Una de estas técnicas es agregar autenticación multifactor a transacciones importantes, como iniciar sesión o realizar una transferencia.

Algunos son más rudimentarios y utilizan una simple lista impresa de números de autorización de transacción (TAN o iTAN), mientras que otros son mucho más sofisticados e involucran el móvil del usuario (mTAN) o un dispositivo electrónico utilizado en combinación con la tarjeta bancaria del usuario (chip-TAN). ).

Si se implementa la autenticación multifactor, el banco solicitará un TAN específico cuando el usuario realice una transacción confidencial en el sitio web del banco. Luego, el usuario debe proporcionarlo consultando la lista que se le entregó (TAN), verificando un SMS que acaba de enviar a su teléfono (mTAN) o insertando su tarjeta bancaria en su chip-TAN.

Para evitar los TAN, el ciberdelincuente puede engañar al usuario para que instale un malware en su teléfono capaz de interceptar mensajes SMS. Esto generalmente se hace mediante ingeniería social. Una vez que el usuario inicia sesión en su cuenta bancaria, se le mostrará una pantalla para engañar al usuario para que ingrese el TAN. Por último, pero no menos importante, el uso de un componente móvil por parte de un troyano bancario no es nuevo. Zeus-in-the-mobile, o ZitMo , y otros existen desde hace bastante tiempo. Lo que es particularmente interesante en este caso es que varios codificadores de web-injects en realidad están empaquetando este tipo de malware móvil con sus web-injects.

Por último, hay varios codificadores en foros clandestinos que venden ATS públicos o privados para varios bancos de todo el mundo. En los foros clandestinos, una inyección web “pública” es aquella que el vendedor vende a cualquier persona, mientras que una “privada” se personaliza según las necesidades del comprador y, por lo general, el codificador no la revende. En general, los compradores de web-injects privados obtendrán el código fuente y los derechos para redistribuirlo a otros.

PoS (Punto de Venta) y Scrappers de RAM

Básicamente, el término “terminal PoS” se refiere más comúnmente a los sistemas de las tiendas donde los clientes pagan a los comerciantes por bienes o servicios. Si bien muchas transacciones de POS se realizan en efectivo, muchos de estos pagos se realizan cuando los clientes pasan sus tarjetas por un lector de tarjetas.

Los ciberdelincuentes tienen una sed insaciable de datos de tarjetas de crédito. 🙂 Hay varias formas de robar esta información en línea, pero el punto de venta (PoS) es el objetivo más tentador. Se estima que el 60% de las compras en los puntos de venta de los minoristas se pagan con tarjeta de crédito o débito.

Dado que los grandes minoristas pueden procesar miles de transacciones diariamente a través de sus POS, es lógico que los terminales POS se hayan convertido en el punto de mira de los ciberdelincuentes que buscan grandes volúmenes de datos de tarjetas de crédito.

En este momento, existen varios foros en Internet que venden abiertamente datos de tarjetas de crédito y débito en varios formatos. El más común es “CVV2”, donde el vendedor proporciona el número de la tarjeta de crédito, junto con el código de seguridad CVV2 adicional que normalmente se encuentra en el reverso de la tarjeta.

Estos datos son suficientes para facilitar las compras online. Sin embargo, algunos vendedores también ofrecen los datos más lucrativos “Track 2”. Esta es una abreviatura de los datos guardados en la banda magnética de una tarjeta. Estos datos son más lucrativos ya que permiten a los delincuentes clonar tarjetas, lo que significa que pueden usarse en tiendas físicas o incluso en cajeros automáticos si el PIN está disponible. El valor de los datos se refleja en el precio de venta online y estos precios varían mucho. Los datos CVV2 se venden por tan sólo $0,1 a $5 por tarjeta, mientras que los datos de Track 2 pueden costar hasta $100 por tarjeta.

Entonces, ¿cómo obtienen los delincuentes estos datos? El skimming es uno de los métodos más populares. Esto implica instalar hardware adicional en el terminal PoS, que luego se usa para leer los datos de la Pista 2 de las tarjetas. Sin embargo, como requiere acceso físico al PoS y costosos equipos adicionales, a los delincuentes les resulta difícil llevar a cabo esto a gran escala. Para abordar este problema, los delincuentes han recurrido a soluciones de software en forma de malware para puntos de venta. Al atacar a los principales minoristas con este malware, los delincuentes pueden acumular datos para millones de tarjetas en una sola campaña.

Para comprender mejor cómo funciona el malware PoS, primero echemos un vistazo al ecosistema de procesamiento de pagos:

Primero, los consumidores deslizan sus tarjetas en los dispositivos PoS de los comerciantes para comprar bienes y servicios. Los dispositivos PoS envían los datos de la tarjeta de crédito a los sistemas PoS de los comerciantes.

En segundo lugar, los sistemas PoS contactan al PSP (Proveedor de Servicios de Pago), quien contacta a los adquirentes designados para la autorización de la transacción, dependiendo de la marca o tipo de tarjeta que se utilizó.

Luego, los adquirentes utilizan las redes de las marcas de tarjetas para contactar a los emisores de tarjetas de crédito. Los emisores devuelven un estado de autorización a los adquirentes a través de las redes de las marcas de tarjetas.

Finalmente, los adquirentes transmiten la autorización al PSP, quien la reenvía a los sistemas y dispositivos PoS, que completan la transacción. Esta comunicación se produce en cuestión de segundos.

Tenga en cuenta también que todas las organizaciones que manejan datos de tarjetas de pago deben implementar salvaguardas establecidas en PCI DSS, que se refiere a un conjunto de requisitos diseñados para garantizar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro. Simplemente busque en Google este conjunto de requisitos si desea conocerlos.

Los ciberdelincuentes han encontrado un gran agujero dentro de este marco de seguridad en capas: ¡datos de tarjetas de crédito no cifrados! De hecho, si bien los datos de la tarjeta se cifran cuando se envían para la autorización del pago, no se cifran mientras se procesa el pago, es decir, en el momento en que pasa la tarjeta en el PoS para pagar sus productos. ¡Bingo!

Los raspadores de RAM PoS generalmente recuperan una lista de procesos en ejecución e inspeccionan la carga de la memoria de cada proceso en busca de datos de la tarjeta. Luego utilizan coincidencias de expresiones regulares (regex) para buscar y recopilar datos de tarjetas de crédito de las pistas 1 y 2 del espacio de memoria del proceso en la RAM. Algunos raspadores de RAM PoS implementan la validación de Luhn para verificar los datos de la tarjeta recopilados antes de la exfiltración.

Algunas de las características generales de los raspadores de RAM es que recopilan información del sistema, utilizan técnicas de enganche e inyección de código, están empaquetados y cifran los datos cuando se envían al servidor CC. Básicamente, tienen casi las mismas funcionalidades que una botnet. Mire este esquema que muestra la evolución del malware PoS:

En un capítulo posterior, tomaremos los desguazadores de RAM más interesantes y les aplicaremos ingeniería inversa para ver cómo se ve su código.

Armados con malware PoS, el próximo desafío para los atacantes es introducir el malware en los terminales POS.

En primer lugar, muchos sistemas POS ejecutan sistemas operativos más antiguos, como Windows XP o Windows XP Embedded. Estas versiones son más susceptibles a las vulnerabilidades y, por tanto, más abiertas a los ataques.

Los terminales PoS no suelen estar conectados a Internet, pero tendrán cierta conectividad a la red corporativa. Por lo tanto, los atacantes intentarán infiltrarse primero en la red corporativa explotando las debilidades de los sistemas externos, como usando una inyección SQL en un servidor web o encontrando un dispositivo periférico que todavía use la contraseña predeterminada del fabricante. Una vez en la red, utilizarán varias herramientas de piratería para obtener acceso al segmento de red que alberga los sistemas PoS.

La buena noticia es que los minoristas aprenderán las lecciones de estos ataques recientes y tomarán medidas para evitar que este tipo de ataques vuelva a ocurrir. La tecnología de pago también cambiará. Muchos minoristas estadounidenses están acelerando la transición a EMV (Europay, MasterCard y Visa), o tecnologías de pago con “chip y PIN”, conocidas como “chip y PIN” y que reemplazan a las tarjetas tradicionales basadas en banda magnética.

Las tarjetas EMV contienen microprocesadores integrados que brindan sólidas funciones de seguridad en las transacciones. EMV nunca transmite los datos de la tarjeta de crédito de forma clara, lo que mitiga muchos ataques comunes a los puntos de venta.

Las tarjetas con chip y PIN son mucho más difíciles de clonar, lo que las hace menos atractivas para los atacantes. Y, por supuesto, es posible que surjan nuevos modelos de pago. Los teléfonos inteligentes pueden convertirse en las nuevas tarjetas de crédito a medida que la tecnología de pago móvil o NFC se adopte más ampliamente.

Malwares en cajeros automáticos (ATM)

Los ciberdelincuentes han desarrollado e implementado malware diseñado para retirar efectivo directamente de los cajeros automáticos sin comprometer las tarjetas de débito de los consumidores. El malware de cajero automático permite a los delincuentes identificar la cantidad de dinero en cada casete de efectivo y manipular la máquina para dispensarlo. Magia : )

Pero requiere acceso físico al cajero automático, lo que podría realizarse mediante técnicas internas o de ingeniería social.

Hay dos casos que he podido coger de Internet:

El primer malware apareció a finales de en México con el nombre de Ploutus , que permitía a los atacantes obligar a los cajeros automáticos a arrojar dinero en efectivo a pedido utilizando un teclado externo. Algunas semanas más tarde, una nueva variante que mostraba que el malware había evolucionado hacia una arquitectura modular permitía a los ciberdelincuentes simplemente enviar un SMS al cajero automático comprometido y luego acercarse y recoger el efectivo dispensado. Puede parecer increíble, pero esta técnica se está utilizando en varios lugares del mundo en este momento.

El segundo malware, llamado Tyupkin, tiene varias características que le ayudan a evitar la detección:

Solo está activo en momentos específicos de la noche en ciertos días de la semana, generalmente domingos y lunes.

Requiere ingresar una clave basada en una semilla aleatoria. El delincuente debe conocer el algoritmo para ingresar la clave correcta según la semilla mostrada aleatoriamente.

Tyupkin implementa técnicas anti-depuración y anti-emulación.

El malware puede desactivar McAfee Solidcore del sistema infectado.

Esto se considera un ataque de nivel superior porque ataca al banco directamente, evitando la necesidad de capturar datos de tarjetas de débito de los consumidores mediante dispositivos de skimming. A diferencia de los ataques de skimming, que sólo requieren acceso al espacio público alrededor de una máquina, el ataque de malware requiere acceso a la parte trasera del cajero automático. La investigación reveló que sólo los cajeros automáticos que no tenían ninguna alarma de seguridad activa estaban infectados. Por lo tanto, instalar alarmas y eliminar el uso de llaves maestras son dos controles de mitigación fáciles de implementar.

Conclusión

Nuestra introducción al mundo del malware bancario ha terminado. Espero que hayas aprendido algo de esto y es hora de que pases a la práctica ahora; feliz marcha atrás.