Análisis de malware

Malware PoS: todo lo que necesita saber

febrero 22, por Admin

Introducción al malware para puntos de venta

El malware PoS sigue siendo una grave amenaza para varias industrias, desde el comercio minorista hasta la industria hotelera. Respetando nuestra publicación anterior, la cantidad de ataques aumentó, como la cantidad de cepas de malware diseñadas específicamente para comprometer los sistemas PoS.

Las empresas de seguridad han investigado varios incidentes en los últimos doce meses relacionados con datos de tarjetas de pago y sistemas de pago y, en muchos casos, los atacantes utilizaron códigos maliciosos dirigidos a los dispositivos de los puntos de venta. El malware PoS es un arma muy eficaz en el arsenal de los ciberdelincuentes; Estos códigos podrían robar información confidencial almacenada en la banda magnética. Las tarjetas de pago y su variante más reciente implementan sofisticadas técnicas de evasión y métodos de exfiltración.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

En el post anterior presentamos el siguiente malware para punto de venta analizando las funciones implementadas por los ciberdelincuentes.

Nombre Habilidadesmalware PoSeidon

Nuevo malware PosThings

d4re|dev1| malware

Les anticipo que aparecieron muchas novedades en el panorama de amenazas durante el último año, a continuación se detalla la lista de amenazas que presentaron las características más interesantes:

Nombre Habilidadespunky

NitlovePoS

Malumpos

Nuevo GamaPos

Cosechador de cereza

ModPos

punto de venta profesional

PosCentro

malware punkey

El malware Punkey fue detectado por los investigadores de Trustwave durante una investigación policial unas semanas después del descubrimiento del malware NewPosThings PoS. Los delincuentes utilizaron el malware Punkey para comprometer los sistemas de pago de algunas organizaciones.

Los investigadores descubrieron tres cepas diferentes de Punkey, circunstancia que los llevó a creer que el malware fue utilizado por diferentes equipos criminales que lo adaptaron a objetivos específicos en la industria minorista.

1 – Punkey (Trustwave)

Punkey implementa características comunes de otros programas maliciosos PoS, pero los expertos quedaron sorprendidos por su capacidad para actualizar y alterar sus capacidades de forma remota.

«Se ha generado un segundo hilo que maneja la descarga de cargas útiles arbitrarias desde el servidor CC, así como la búsqueda de actualizaciones para Punkey. Esto le da a Punkey la capacidad de ejecutar herramientas adicionales en el sistema, como ejecutar herramientas de reconocimiento adicionales o realizar escalada de privilegios. Esta es una característica poco común del malware POS». lee una publicación de blog publicada por el blog Trustwave SpiderLabs .

El código malicioso también implementa capacidades de reconocimiento y piratería; Estas características no son comunes para el malware PoS.

«Este tráfico está cifrado con AES, base64 y luego URL. Después de revertir el proceso, los datos enviados se ven así (no, NO es un número de tarjeta de pago válido):»

«¡Aquí es donde entra en juego la diversión de nombrar! La combinación de P(OST)unkey y llamar punk al autor del malware fue demasiado dulce para dejarla pasar». continúa el post.

Los datos transferidos por el malware Punkey PoS a los servidores CC incluyen números de tarjetas de pago y datos recopilados por el módulo Keylogger.

En la siguiente tabla se enumeran las principales diferencias entre las tácticas implementadas por Punkey y otro malware PoS.

2 – Tácticas Punkey

Es interesante destacar el uso de un módulo Keylogger y un mecanismo de inyección de procesos que hacen de esta nueva amenaza una excelente arma en manos de los ciberdelincuentes.

NitlovePoS

NitlovePoS es una cepa de malware PoS descubierta por los expertos de FireEye en mayo de; puede capturar y exfiltrar las pistas uno y dos de las tarjetas de pago mediante el escaneo de los procesos de las máquinas PoS infectadas.

Los expertos de FireEye descubrieron una campaña de spam que propagaba el malware; los correos electrónicos maliciosos tienen asuntos como «¿Algún trabajo?», «¿Alguna vacante?», «Prácticas», «Preguntas sobre pasantías», «¿Pasantías?», «Publicar ofertas de trabajo», «Preguntas sobre trabajos», «Mi currículum», «Ofertas de empleo». Los correos electrónicos incluyen un archivo adjunto llamado «CV_[4 números].doc» o «My_Resume_[4 números].doc», que incorpora una macro maliciosa que, una vez habilitada, desencadena el proceso de infección.

3: correo electrónico no deseado

Cuando la víctima abre el documento, se muestra con instrucciones para permitir que el micro vea el documento que dice estar protegido. Una vez habilitada, la «macro maliciosa descargará y ejecutará un ejecutable malicioso desde 80.242.123.155/exe/dro.exe».

«Para engañar al destinatario para que habilite la macro maliciosa, el documento afirma ser un ‘documento protegido'», dijeron los investigadores de FireEye.

Los actores de amenazas detrás de la campaña han actualizado la carga útil varias veces para mejorar su eficiencia.

«Nos centramos en el malware «pos.exe» y sospechamos que podría estar dirigido a máquinas de punto de venta. «Especulamos que una vez que los atacantes han identificado un formulario de host potencialmente interesante entre sus víctimas, pueden indicarle a la víctima que descargue el POS. malware. Si bien hemos observado muchas descargas de varios EXE [alojados] en ese servidor, sólo hemos observado tres descargas de «pos.exe».», agregaron los investigadores de FireEye.

El malware agrega una entrada a la clave de registro para lograr persistencia del sistema infectado.

«NitlovePOS espera ejecutarse con el signo «-» como argumento; de lo contrario, no realizará ninguna acción maliciosa. Esta técnica puede ayudar a evitar algunos métodos de detección, particularmente aquellos que aprovechan la automatización».

«Si se proporciona el argumento correcto, NitlovePOS se decodificará en la memoria y comenzará a buscar datos de tarjetas de pago», «Si no tiene éxito, NitlovePOS dormirá durante cinco minutos y reiniciará el esfuerzo de búsqueda».

Malumpos

Unas semanas después del descubrimiento de NitlovePoS, los expertos en seguridad de Trend Micro detectaron una nueva cepa del malware MalumPoS que fue reconfigurado para comprometer los sistemas PoS basados ​​en la plataforma Oracle® MICROS®.

Trend Micro fue la primera empresa de seguridad en detectar MalumPoS en estado salvaje; La nueva variante se desarrolló para apuntar a esta plataforma Oracle que se utiliza ampliamente (330.000 instalaciones de clientes en todo el mundo) en diversas industrias, incluidas la hotelería, la alimentación y bebidas y el comercio minorista.

La mayoría de estas plataformas están ubicadas en Estados Unidos, los MalumPoS pertenecen a la familia de raspadores de RAM PoS, lo que significa que el código malicioso roba datos de las tarjetas de crédito de los clientes directamente de la memoria RAM de los sistemas infectados.

Los investigadores de Trend Micro explicaron que MalumPoS fue diseñado para ser configurable, tiene una estructura modular que hace que la amenaza sea escalable. Los actores de amenazas pueden cambiar o agregar otros procesos o configurar nuevos objetivos.

«Puede, por ejemplo, configurar MalumPoS para incluir sistemas PoS Radiant o NCR Counterpoint en su lista de objetivos». afirma la publicación.

Los investigadores destacaron las siguientes características del malware MalumPoS:

Trend Micro publicó un análisis detallado del malware MalumPoS que incluye indicadores de IoC y reglas YARA que podrían usarse para detectar la presencia del malware.

Nuevo malware GamaPoS

GamaPoS es el nombre de otro malware PoS detectado este verano por Trend Micro, cuando sus expertos descubrieron que el malware era distribuido por una gran botnet conocida como Andromeda, que existe desde.

«Descubrimos GamaPoS, un nuevo tipo de amenaza de punto de venta (PoS) que actualmente se está extendiendo por los Estados Unidos y Canadá a través de la botnet Andrómeda». afirma Trend Micro en una publicación de blog .

El malware GamaPoS infectó más los sistemas Windows en EE. UU. (85%) y Canadá (2%), el código malicioso afectó a los sistemas PoS en algunas industrias, incluida la atención médica domiciliaria, el comercio minorista en línea y la electrónica de consumo.

Los investigadores de TrendMicro descubrieron que el malware está escrito en.Net, una opción inusual para el desarrollo de un malware PoS de extracción de RAM.

Los expertos notaron que los piratas informáticos optaron por difundir el malware a través de una botnet, en lugar de robar o adivinar las credenciales de acceso remoto, en respuesta a las contramedidas implementadas por muchos minoristas. De hecho, muchas organizaciones han mejorado la seguridad de sus sistemas protegiendo los recursos internos de ataques remotos.

Los delincuentes han utilizado una botnet para infectar máquinas en todo el mundo, incluidas máquinas dentro de las redes internas confiables de las organizaciones objetivo.

La infección comienza con mensajes de spam que contienen correos electrónicos maliciosos que pretenden incluir documentos de cumplimiento de PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) o actualizaciones de software necesarias para proteger los sistemas del malware MalumPos descubierto recientemente. Los archivos adjuntos contienen macros maliciosas que instalan la puerta trasera en la PC infectada que se utiliza para servir GamaPoS.

«Esto significa que lanza una campaña de spam para distribuir puertas traseras de Andrómeda, infecta sistemas con PoSmalware y espera capturar los sistemas PoS objetivo por su gran volumen. Las estimaciones aproximadas nos muestran que GamaPOS puede haber afectado solo al 3,8% de los afectados por Andrómeda». continúa el post.

Los expertos también descubrieron que los actores de amenazas usaban la puerta trasera para descargar herramientas que pueden usarse para realizar movimientos laterales dentro de la red objetivo.

GamaPoS apunta a una variedad de tarjetas, incluidas Visa y Discover, cuyos usuarios están expuestos al riesgo de piratería.

«Si bien el ejemplo evaluado no realiza la validación de Luhn , GamaPoS filtra manualmente los datos evaluando los primeros números de los datos extraídos.

Finalmente, intentaría cargar los datos recopilados a través del servidor de comando y control que se seleccionó durante la ejecución inicial», afirma la publicación.

Cosechador de cereza

A finales de, los expertos en seguridad observaron un aumento en el número de software malicioso sofisticado para puntos de venta (PoS).

En noviembre de, investigadores de seguridad de Trustwave analizaron un insidioso malware de punto de venta (PoS) denominado Cherry Picker. Esta amenaza existe desde al menos. El malware permaneció fuera del radar debido a la implementación de sofisticadas técnicas de evasión.

«El uso de archivos de configuración, cifrado, ofuscación y argumentos de línea de comando por parte de Cherry Picker han permitido que el malware permanezca fuera del radar de muchas empresas de seguridad y AV», dijeron los investigadores de Trustwave. «La introducción de una nueva forma de analizar la memoria y encontrar CHD, un sofisticado infectador de archivos, y un programa de limpieza dirigido han permitido que esta familia de malware pase desapercibida en la comunidad de seguridad».

El malware Cherry Picker Pos fue detectado por primera vez en por expertos de Trustwave, una de las muestras analizadas por Trustwave estaba compuesta por dos componentes, una interfaz de línea de comandos (sr.exe) y el searcher.dll que es un código que bysr.exe se inyecta directamente en los procesos específicos.

Cherry Picker es un malware que raspa la memoria y utiliza un infector de archivos para lograr persistencia.

La amenaza incluye un módulo de limpieza que le permite eliminar todos los rastros de la infección del sistema.

La última versión del malware Cherry Picker PoS utiliza un conjunto de API llamado QueryWorkingSet para extraer la memoria y recopilar datos de la tarjeta. Los datos robados se escriben en un archivo y se devuelven a los servidores de control.

«Una vez que se filtran los datos, comienza el proceso de limpieza. Los desarrolladores de malware crearon una herramienta de limpieza específica diseñada para restaurar el sistema infectado a un estado limpio. La amenaza se basa en el popular software de control remoto TeamViewer para sobrescribir y eliminar archivos, registros y registros. entradas.» informó Semana de Seguridad.

Los investigadores observaron que los sistemas infectados por el software Cherry Picker también estaban infectados por otras amenazas como el malware AutoIt PoS y Rdasrv, que es uno de los primeros raspadores de RAM PoS.

Los investigadores de Trustwave detectaron tres cepas diferentes del malware Cherry Picker PoS, circunstancia que confirma la evolución de la amenaza en el ecosistema criminal.

Los autores del malware mejoraron el mecanismo de persistencia; Las versiones anteriores usaban una entrada de registro; en casos más recientes, usan una versión actualizada de sr.exe, srf.exe, que se ha usado para instalar el malware e inyectar una DLL en los procesos.

Cherry Picker PoS, a diferencia de amenazas similares, se centra únicamente en el proceso que gestiona los datos de la tarjeta; Este proceso se informa en el archivo de configuración.

ModPos

Siempre en noviembre, los datos pertenecientes a millones de tarjetas bancarias estadounidenses fueron recopilados por un nuevo malware de POS llamado ModPOS. La amenaza se encontró en algunas empresas no identificadas, incluidas grandes empresas minoristas.

La información disponible sobre los atacantes no es mucha, pero se sabe que operan desde. Se trata de un sindicato criminal organizado que permaneció fuera del radar durante años.

«Este es un malware para POS [punto de venta] con esteroides», «Hemos estado examinando el malware para POS desde siempre, durante al menos los últimos ocho años, y nunca hemos visto el nivel de sofisticación en términos de desarrollo… [dicen los ingenieros] Es el marco más sofisticado que jamás hayan tenido en sus manos». Dijo el director senior de iSight Partners, Steve Ward.

Los expertos en malware tardaron tres semanas en realizar ingeniería inversa en uno de los tres módulos del núcleo del malware. Para darle una idea de la complejidad de la amenaza, los mismos expertos en malware que analizaron ModPos solo necesitaron 30 minutos para realizar ingeniería inversa del código del malware Cheery Picker POS.

Steve Ward quedó impresionado por los «increíblemente talentosos» autores del malware e incluso comentó que hicieron un «trabajo increíble», porque su comprensión de la seguridad en torno a POS era enorme. «Es difícil no quedar impresionado», dijo Ward.

Otro punto fuerte es el cifrado utilizado para proteger los datos del tráfico, es un cifrado de 128 y 256 bits, y se necesitaba una nueva clave privada por cliente.

4: malware ModPoS

Ward confirmó que los autores gastaron una gran cantidad de dinero y tiempo en cada módulo de controlador del kernel empaquetado, que actúa como un rootkit y es difícil de detectar y aplicar ingeniería inversa.

El ModPOS es un proyecto para ejecutar una operación a gran escala que pueda obtener un retorno de su inversión.

Después del descubrimiento de ModPOS, los atacantes necesitarán cambiar parte del código base para recuperar la ofuscación que lograron con variantes anteriores. Estos cambios serán más difíciles de implementar y requerirán una inversión monetaria significativa.

punto de venta profesional

Era Navidad cuando investigadores de la firma de inteligencia sobre amenazas InfoArmor descubrieron un nuevo malware PoS denominado Pro PoS que está disponible para la venta en foros clandestinos . Los autores del malware Pro PoS son piratas informáticos de Europa del Este que diseñaron su código malicioso para infectar los principales sistemas operativos utilizados por las empresas del sector minorista, incluidos los sistemas operativos más nuevos.

5: malware Pro PoS

Según la firma de inteligencia de amenazas InfoArmor, los ciberdelincuentes ya estaban utilizando la solución Pro PoS para atacar los sistemas PoS utilizados por minoristas y PYMES en los EE. UU. y Canadá.

Pro PoS es un pequeño malware, de apenas 76 KB, que actúa como rootkit e implementa mecanismos para evitar la detección del antivirus. Los expertos de InfoArmor explicaron que Pro PoS integra un motor polimórfico que permite a la amenaza generar una firma diferente para cada muestra de malware.

El 27 de noviembre, los expertos de InfoArmor notaron un aumento significativo en el precio de la solución Pro PoS que se ofrecía a $2600 por una licencia de seis meses.

El Pro PoS admite TOR para ocultar sus servidores de Comando y Control (CC).

En los últimos 2/3 años, hemos visto un aumento significativo en la cantidad de malware para puntos de venta , y su difusión es cada vez más preocupante. Leemos sobre muchas infracciones de alto perfil que involucraron malware de alta complejidad dirigido a sistemas de pago en todo el mundo.

CentroPOS

A principios de, los expertos de FireEye revelaron un nuevo malware PoS denominado CenterPOS. Este malware bastante nuevo fue descubierto en septiembre de en una carpeta que contenía otro malware POS, incluido NewPoSThings, dos variantes de Alina conocidas como «Spark» y «Joker», y el infame Malware BlackPOS .

6 – Punto de venta central

La muestra analizada por FireEye se identifica con un número de versión interna 1.7 y contiene un «raspador de memoria que itera a través de procesos en ejecución para extraer información de la tarjeta de pago. La información de la tarjeta de pago se transfiere a un servidor de comando y control (CnC) a través de HTTP POST «:

Los expertos descubrieron muchas muestras de la versión 1.7 del malware que estaban asociadas con diferentes ubicaciones de CC:

El análisis de un servidor CnC en vivo permitió a FireEye descubrir que en el mundo clandestino el malware se conoce como «Cerebrus» (no lo confunda con el RAT también conocido como Cerebrus).

Además de la versión 1.7, se encontró una versión 2.0, que es muy similar a la 1.7 con la diferencia que en la versión 2.0 se utiliza un archivo de configuración para almacenar la información relacionada con el servidor CC.

«El malware contiene dos modos para extraer memoria y buscar información de tarjetas de crédito, un modo de «escaneo inteligente» y un modo de «escaneo normal». El modo de «escaneo normal» actuará casi igual que la versión 1.7″.

CenterPOS escanea todos los procesos buscando aquellos que cumplan con los siguientes criterios:

If a process meets the criteria «the malware will search all memory regions within the process searching for credit card data with regular expressions in the regular expression list.»

Moving on to the «smart scan», this scan is initiated with a normal scan, and «any process that has a regular expression match will be added to the «smart scan» list. After the first pass, the malware will only search the processes that are in the «smart scan» list.»

«After each iteration of scanning all process memory, the malware takes any data that matches and encrypts it using TripleDES with the key found in the configuration file.»

The malware sends information to the CC server about the «hacked» system including the current settings, always after a performed scan. The collected info includes all system users, logged in users, sessions, process list, and current settings list. The info is sent by a separate HTTP POST request.

«The malware primarily sends data to the CnC server, but can also receive commands and in addition to processing commands, the malware also accepts commands to update its current settings.»

The next table includes data related thevariants of the CenterPOS version 2.0 found by FireEye:

CenterPOS or Cerebrus as will likely continue to evolve; their authors will include more functionalities in future versions.

Operation Black Atlas

During the holiday season, the experts at Trend Micro uncovered a large-scale operation dubbed Operation Black Atlas, about notoriousBlackPOSPoS malware that is the threat primarily used in these attacks.

BlackPOS, also known as Kaptoxa, is the malicious code used by crooks behind the Target breachin andother cyber attacks on retail accountsin.

Threat actors behind the operation have developed a set of hacking tools used in their operations.

«Operation Black Atlas has been around since September, just in time to plant its seeds before the holiday season. Its targets include businesses in the healthcare, retail, and more industries which rely on card payment systems.» reads ablog postpublished by Trend Micro. «The operation is run by technically sophisticated cyber criminalswho are knowledgeable in a variety of penetration testing tools and possess a wide network of connections to PoS malware in the underground market.»

Threat actors behind the Black Atlas operation used some popular PoS malware, includingAlina, NewPOSThings, aKronosbackdoor, and, of course, theBlackPOSthreat.

The bad actorshave stolen user login credentials, email accounts, and other sensitive information from victims. The experts also discovered a live video feed of closed-circuit television (CCTV) cameras in a gasoline station, evidence that crooks are collectingwhatever information is available.

«Similar toGamaPoS, the Black Atlas operators employed a «shotgun» approach to infiltrate networks as opposed to zeroing in on specific targets. They basically checked available ports on the Internet to see if they can get in, ending up with multiple targets around the world.» continues the post.

The experts at Trend Micro observed that Black Atlas operators used the botnet Gorynych or Diamond Fox in a number of installations.

In the followingimage has reported the distribution of Gorynych targets in Operation Black Atlas.

Figure 7 -Black Atlas operation

The Operation Black Atlastargeted numeroushealthcare organizations in the US; threat actors use to run an initialintelligence gathering or reconnaissanceactivity to identify the best systems to compromise then they used the tools to run the attack (i.e. Brute force or dictionary attack).

«Networks with weak password practices are likely to fall victim to this initial penetration testing stage. Many of these tools are easily downloaded from various sites on the Internet. The cybercriminals will then create a test plan based on the initial probe, and then use a second set of tools to execute the said plan.»

Figure 8 – Black Atlas operation (Trend Micro)

In the attack stage, the crooks utilized remote access tools to steal more information and move laterally within the network, one inside they inject the PoS threats.

Trend Micro announced it will provide further details about the Black Atlas Operation.

Conclusions

The number ofdata breachesis growing at a fast pace, the retail industry is among the most affected sectors, but the threats presented have a significant impact on many other industries.

Security experts sustain that the measures adopted in the retail industry to prevent cyber attacks are not adequate.

PoS systems are a privileged target of cyber criminals; this means that criminal organizations will continue in investing in the development of new malicious codes that implement sophisticated evasion techniques.

Many POS malware were spotted in the last years; their proliferation is the result of a huge demand in the criminal underground.

I have no doubts, in the incoming months, we will assist with an increased in the number of incidents involving POS malware.

References

http://securityaffairs.co/wordpress/36113/cyber-crime/punkey-pos-malware.html

https://www.trustwave.com/Resources/SpiderLabs-Blog/New-POS-Malware-Emerges—Punkey/

http://securityaffairs.co/wordpress/37cyber-crime/nitlovepos-new-pos-malware.html

https://www.fireeye.com/blog/threat-research//05/nitlovepos_another.html

http://securityaffairs.co/wordpress/37612/cyber-crime/malumpos-pos-malware.html

http://securityaffairs.co/wordpress/44051/cyber-crime/centerpos-pos-malware.html

http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-hotels-and-other-us-industries/

http://securityaffairs.co/wordpress/38643/cyber-crime/gamapos-pos-malware.html

http://securityaffairs.co/wordpress/41928/malware/cherry-picker-pos-malware.html

http://securityaffairs.co/wordpress/422yber-crime/modpos-pos-malware.html

http://securityaffairs.co/wordpress/42464/cyber-crime/operation-black-atlas.html

https://infoarmor.com/wp-content/uploads//12/Pro-POS-Solution-FINAL.pdf

http://securityaffairs.co/wordpress/42404/cyber-crime/pro-pos-malware.html

http://blog.trendmicro.com/trendlabs-security-intelligence/operation-black-atlas-endangers-in-store-card-payments-and-smbs-worldwide-switches-between-blackpos-and-other-tools/

Become a certified reverse engineer!

Get live, hands-on malware analysis training from anywhere, and become a Certified Reverse Engineering Analyst. Start Learning

https://www.fireeye.com/blog/threat-research//01/centerpos_an_evolvi.html