Por Caique Barqueta: O Brasil faz parte dos países que mais sofrem ataques cibernéticos no mundo, cenário este que tem se agravado após a pandemia e o momento mundial relacionado ao conflito armado entre Ucrânia e Rússia.
Estar atualizado sobre as principais ameaças no Brasil torna-se cada vez mais importante e pode permitir estar passo à frente de potenciais ataques, além de agir com maior rapidez e eficiência com o intuito de detectar tais ameaças e evitar impactos e incidentes que poderão resultar em danos e percas.
Abaixo, listamos principais ameaças cibernéticas mais recorrentes identificadas pelo time de Inteligência da ISH, o Heimdall.
Cobalt Strike
Detectamos 1768 servidores fazendo uso malicioso do Cobalt Strike. Eles utilizam kit de ferramentas que permite que invasores implantem “beacons” em dispositivos comprometidos para realizar vigilância remota de rede ou executar comandos.
Abaixo, é possível ver a distribuição no mapa:
SSH Brute Force
Detectamos, no mesmo período, 2180 ameaças do tipo SSH Brute Force. O SSH é usado para logins remotos, execução e comandos, transferências de arquivos e outros. O ataque de força bruta SSH é realizado por um agente de ameaça que tenta realizar o login com nome de usuário e senha comum em diversos servidores, até que tenha obtido o resultado positivo.
Abaixo, é possível ver a distribuição no mapa:
Endereços de IP
Outro principal rastro que os agentes de ameaças deixam e que auxiliam a identificar é o endereço de IP, o qual é considerado uma informação muito valiosa para rastrear e estudar os agentes de ameaças, visando se proteger do domínio e endereço de IP considerado malicioso.
A ISH coleta e analisa diariamente a atividade maliciosa desses principais ofensores de acordo com o print abaixo, onde do dia 01/10 a 01/11 coletamos e analisamos 52,667 endereços de IP maliciosos que foram prontamente compartilhados com os clientes via MISP.
Após apresentarmos as principais ameaças, vulnerabilidades e endereços maliciosos, nós da ISH vamos abordar sobre mais uma ameaça que retornou, desta vez como malware do tipo pós pagamento: o Prilex.
Malware Prilex
Os agentes de ameaças conhecidos como Prilex estão ativos desde meados de 2014, cujas amostras e artefatos maliciosos visavam realizar fraudes em cartões de créditos. Porém, em 2016, foi identificada e vinculada a campanha direcionada a caixas eletrônicos aqui no Brasil.
No ano de 2017, este agente de ameaça alterou seus ataques de caixas eletrônicos para ataques em dispositivos de Pontos de Venda (PoS), ou seja, as máquinas utilizadas para realizar o recebimento de pagamentos via cartões de crédito e débito.
Principais notícias
A primeira campanha identificada dos agentes foi em 2014, quando atingiram centenas de caixas eletrônicos em todo o Brasil. Os agentes utilizaram um dispositivo de blackbox configurado com um modem USB 4G para controlar remotamente a máquina. Esta caixa preta foi fisicamente anexada ao caixa eletrônico e sua real finalidade era servir como um backdoor com um intuito de sequestrar a conexão sem fio da máquina e direcionar os outros caixas eletrônicos que estavam no mesmo segmento de rede.
Já em 2017, foi identificada outra campanha, desta vez não era realizadas em caixas eletrônicos, mas sim em sistemas de pontos de venda. Os agentes interceptaram transações para capturar o criptograma usado na transação EMV e realizar um ataque de repetição. O malware foi capaz de capturar dados da Faixa 2 e detalhes de cartões que posteriormente foram encaminhados aos servidores C2 do grupo.
Em meados de julho de 2020, outra campanha do grupo foi localizada visando fornecer o software POS malicioso para outros agentes maliciosos, os quais compraram o malware e utilizaram como espécie de MaaS (Malware-as-a-Service).
Como opera o grupo
Com relação ao modus operandi do Prilex para os dispositivos do tipo ATM, foi identificada a utilização de uma “blackbox” conectado à rede que permitia que o invasor instalasse o malware nos computadores remotamente. Neste tipo de ataque, os agentes conheciam as credenciais de login de administrador, sugerindo um possível “Insider” dentro das instituições financeiras afetadas.
Já com o novo método de ataque, utilizando-se de software malicioso de pós-pagamento (PoS), os agentes maliciosos entram em contato com as empresas que utilizam determinado serviço afirmando serem suporte de software e solicitam às vítimas que instalem uma atualização crítica no sistema.
A atualização instalada é um software de conexão/administração remota, como por exemplo o Team Viewer ou o AnyDesk, auxiliando o agente malicioso na capacidade de controlar remotamente o sistema.
Após isto, eles realizam a utilização de funções hooking utilizado por softwares responsáveis para gerenciar transações de cartões para capturar e modificar os dados que estão sendo transferidos entre o software e o pinpad. Este tipo de ataque possui duas versões com diferentes métodos de fraude:
- Coletar o criptograma de transação para realizar ataques de repetição.
- Gerar novos criptogramas de cartão que serão usados posteriormente pelos invasores.
Os afiliados deste agente de ameaça, após realizarem a coleta das informações, recebem as informações por meio de uma ferramenta de aplicação denominada “Daphne”, utilizada para clonar cartões, recebendo ainda um acesso a um banco de dados contendo números de cartões.
Os agentes de ameaças possuem um site para realizar a venda do malware na Deep Web, conforme imagem abaixo do site.
Na descrição dos malwares oferecidos pelo grupo, estes afirmam que o desenvolvido pelos agentes pode realizar a clonagem de cartões, os quais podem ser utilizados para saques em dinheiro e compras diversas.
Outro tipo de ameaça divulgada pelo grupo é a venda de Máquinas POS comprometidas, ou seja, utilizadas para leitura de cartões de crédito e débito inseridas por meio de “shimmers”, o qual são inseridos nas máquinas. Eles possuem um microchip embutido que acaba por roubar e armazenar dados de cartão de crédito e débito toda vez que uma pessoa usa seu cartão para fazer um pagamento ou sacar dinheiro.
Os dados do chip do cartão são armazenados no dispositivo e, em sequência, é realizado o envio dos dados diretamente via SMS, podendo, assim, serem controlados remotamente.
Serviço de ataque DDoS
O agente de ameaça Prilex, oferece ainda em seu site a disponibilização e venda de serviço de ataque DDoS, ou seja, o usuário poderá comprar a ordem de ataques DDoS (Distributed Denial of Service), onde é necessário realizar o contato com os agentes para utilização do serviço.
Como funcionam os dispositivos “POS”
Um dispositivo POS está conectado a um computador – que pode ser um computador comum ou um que possui um sistema operacional específico para POS, e tem um software do POS instalado nele, que pode ser do fornecedor que criou o dispositivo. O software da máquina pode ler as informações do cartão de pagamento passado no dispositivo POS, conseguindo extrair informações como número do cartão, validade e assim por diante, e pode até validar o cartão conectando-se ao servidor de processamento de pagamento.
Com isso, as informações são armazenadas em nossos cartões de pagamento de uma maneira específica. O cartão de pagamento possui uma faixa magnética dividida em três: 1, 2 e 3. Estas faixas contêm vários tipos de informações, como principal número da conta, nome do titular do cartão, data de validade e outros dados necessários para realizar a forma de pagamento.
Por exemplo, a faixa 1 do cartão possui o formato ilustrado abaixo:
Para melhor entendimento, criamos uma tabela para que possa ser possível identificar os dados repassados:
| % | Indica o início da faixa 1. |
| B | Indica cartão de crédito ou débito |
| PN | Indica o número da conta primária (NCP) e pode conter até 19 dígitos. |
| ^ | Separador |
| LN | Indica o sobrenome da pessoa titular |
| \ | Separador |
| FN | Indica o nome da pessoa titular |
| ^ | Separador |
| YYMM | Indica a data de validade do cartão no formato de ano e data |
| SC | Código do serviço |
| DD | Dados discricionários |
| ? | Indica o fim da faixa 1 |
Os dados da faixa devem aparecer da seguinte forma: %B12345678901234^ULTIMONOME/PRIMEIRONOME^2203111001000111000000789000000?
Com isto, o software POS pode ler esta informação do cartão que é passado no dispositivo e armazenar as informações em sua memória virtual. Ele usa então essas informações armazenadas na memória para realizar o processo de pagamento, que inclui a autenticação seguida pela transação.
Indicadores de comprometimento
| Md5 |
| 23b5740cc655de46d5f46ffdb78a9da0 |
| 7ab092ea240430f45264b5dcbd350156 |
| 64464d5e9049375a8417497f387b73d7 |
| 5aba9e5407ce6e84d17aaf922a70e747 |
| d130ef499a395a0cc53d750c2955a075 |
| 34fb450417471eba939057e903b25523 |
| 26dcd3aa4918d4b7438e8c0ebd9e1cfd |
| f5ff2992bdb1979642599ee54cfbc3d3 |
| af063af98b5332792d8e611b239533e1 |
| 7ae9043778fee965af4f8b66721bdfab |
| ba3554dcce534ce15f88543fb864b4c2 |
| 5387f11dbc06260049a1a92d1912a160 |
| 1432980adc8c6b268a3c50803dbe295a |
| 37894433ba79853954d3f5f1209dd1a |
| f9d5f011ac902d1eef129f3f6253147c |
| 22dc6744cf0f0a361e5ed81f2f9f4712 |
| 570a09a349345fd6f2e615b9f3294b1 |
| ac6d36647b90d7b4f9c3835620e1e0ae |
| 92ce37c9d99bca5e3882027757f75c22 |
| 17c010884dc1b2b16446a2ed42c89ed5 |
| SHA1 |
| ba8fefbe6963f108fd331f25a9ca98d9026412b9 |
| 7fb775e50b2b9e0b6de4cb490bdf03881abe9260 |
| 927225fec81ac77265945e612c19428ac49070e7 |
| f617627412d1225b62ceb0f0f518ce8bed0a96cc |
| 1bf7777bb8fe517cc438d30a3c9c86980ac09517 |
| 9902e8e7adae0a1100d24f7ed6e609fad3ad0dcf |
| 4493eb7428384c62611a7ca5cc5d5a378926c169 |
| 872397b3ac67821b1aa23cf6b4efaf9115b2d715 |
| 48cefb85cf40fbeb6ea11aeacd184bbeb23ee5f8 |
| 167375e0eb4ef26ca642ace014d2ad18c26eca1f |
| 0067866ecd10cec791fa4b1af52e84825e5456cb |
| e47c2748f1d5a5410d184d8588e1027613fb2e45 |
| SHA256 |
| 669bc5b9995b1cd76e5fb59925158c25c8da7ab9b6a5650088757ad5d730b223 |
| 0cf96b659642809cc968e491622becfa5e7e4f8f623b9bc27ad3f9241cb4ff35 |
| 90739b847406e362f73d49e48b8bf366276eea2ec750aa535b6ab6f3fadff294 |
| b3af54f8ea2e08f9ef4069fa4f87f22960cbb84519a1a86487acb82214f0995a |
| 605481bd2e37f0212637653273d866a3c47ee72cfde7207d915ffe6e5093b28e |
| 5cc18fa2204e0bee1f70b53af1fabe03ecce2b2b5e8baecb6fcfc76d2e8395c7 |
| a1ee1a386472493735f772e87e31c44bbacc058d37faade1a8ded4e2abb83939 |
| 36e1bde1c7e2acca43895799ec23e8a13cffa0dd52d0c72e888926971f2f2476 |
| 7e44f74993781edc47017a243be7bbe1ab3439f37760e50db29788f5646fcb57 |
| cb74e08d23c70dde7f6efebfee49563e569ccfff1541c9d5d96842fc8e8926b3 |
| 5eff328e4227ffdddf1f018b56fc3d8d8d65fbfcddb60fa52aa523f160b739dd |
| 92e9ee53617b649dc3d1f57183b727f0274607f17e372b4fe5d5880c587eaa66 |
| Endereços IP e URL |
| daphne.ddns.com.br |
| daphne1.ddns.com.br |
| daphne2.ddns.com.br |
| daphne1.sytes.net |
| daphne2.sytes.net |
| newbackup3.sytes.net |
| newtefssh.sytes.net |
| prdxtefwork.sytes.net |
| samsystem.ddnsking.com |
| prdxboss3.ddns.net |
| prdxboss2.ddns.net |
| prdxboss1.ddns.net |
| prdxboss1.chickenkiller.com |
| newtefssh.sytes.net |
| newbackup3.sytes.net |
| http://prdxboss1.chickenkiller.com:10003 |
| olddossys.mooo.com |
| prdxboss1.chickenkiller.com |
Identificando ataques aos POS
Após descrevermos mais sobre o agente de ameaça Prilex, existem algumas medidas que podem ser utilizadas e adotadas visando identificar malware de pós pagamento.
O malware pode ser identificado pelo conjunto de APIs que utiliza e, isto poderá ser obtido por meio de análise dinâmica de artefatos maliciosos. O malware no momento de execução realiza o escaneamento da memória do processo de software POS, para o que precisa primeiramente pesquisar no sistema.
As funções de APIs utilizadas pela maioria dos malwares POS utilizam as funções:
- CreateToolhelp32Snapshot
- Process32FirstW
- Process32NextW
- NtOpenProcess
- ReadProcessMemory
Em seus logs de API, poderá ver chamadas contínuas para ReadProcessMemory após a chamada de função NTOpenProcess. Isso ocorre porque os blocos de memória são lidos sequencialmente e em seguida escaneados para o número do cartão de crédito e débito, como, por exemplo, nas chamadas a seguir:
ReadProcessMemory([process_handle]0x000001A4, [base_address]0x00010000) ReadProcessMemory([process_handle]0x000001A4, [base_address]0x00020000) ReadProcessMemory([process_handle]0x000001A4, [base_address]0x0012D000) ReadProcessMemory([process_handle]0x000001A4, [base_address]0x00140000)
Por fim, podemos visualizar a importância de monitoramento do ambiente, principalmente para o fato de identificar novas ameaças, por isto, a ISH se empenha todos os dias visando monitorar as ameaças e os principais grupos de ameaças e realizar a análise dos artefatos maliciosos utilizados.
Agentes de ameaças de ataques POS
Listamos algumas das principais famílias de malwares que visam ataques de POS, ou seja, em pós pagamentos, incluindo o resumo de suas atividades e dicas de identificação.
- Constantine: Um backdoor utilizado para gerenciar máquinas infectadas e depurar o malware em caso de algum problema. Este backdoor está em uso desde as primeiras campanhas direcionadas a ATMs, ou caixas eletrônicos.
- PrilexATM: O principal módulo utilizado para dispensar o dinheiro dos caixas eletrônicos infectados. Para isto, utiliza três bibliotecas específicas (P32disp0.dll, P32mmd.dll e P32afd.dl).
- Logus: Um malware do tipo stealer criado para interceptar e coletar informações entre o dispositivo de pagamento e o software para capturar as informações do cartão.
- Ghost: Variante do Stealer Logs, esta versão solicita ao cartão novas criptografias válidas em vez de reutilizar o original como um ataque de repetição.
- SendKernel/SendCab: Um módulo de upload usado para subir as informações roubadas para o servidor do operador.
Referências:
- Heimdall by ISH Tecnologia
- Material do responsável pelo boletim, Caique Barqueta
- The return of Prilex – Point of Sale systems under attack – Kaspersky Lab
- https://securityaffairs.co/wordpress/137608/malware/pos-malware-stolen-card-data.html
- https://sensorstechforum.com/prilex-pos-malware-2022-attacks/