Grupo Prilex está de volta: malware coleta dados de cartões bancários para realizar fraudes

Por Caique Barqueta: O Brasil faz parte dos países que mais sofrem ataques cibernéticos no mundo, cenário este que tem se agravado após a pandemia e o momento mundial relacionado ao conflito armado entre Ucrânia e Rússia.

Estar atualizado sobre as principais ameaças no Brasil torna-se cada vez mais importante e pode permitir estar passo à frente de potenciais ataques, além de agir com maior rapidez e eficiência com o intuito de detectar tais ameaças e evitar impactos e incidentes que poderão resultar em danos e percas.

Abaixo, listamos principais ameaças cibernéticas mais recorrentes identificadas pelo time de Inteligência da ISH, o Heimdall.  

Cobalt Strike

Detectamos 1768 servidores fazendo uso malicioso do Cobalt Strike. Eles utilizam kit de ferramentas que permite que invasores implantem “beacons” em dispositivos comprometidos para realizar vigilância remota de rede ou executar comandos.

Abaixo, é possível ver a distribuição no mapa:

Figura 1 – Distribuição do Cobalt Strike

SSH Brute Force

Detectamos, no mesmo período, 2180 ameaças do tipo SSH Brute Force. O SSH é usado para logins remotos, execução e comandos, transferências de arquivos e outros. O ataque de força bruta SSH é realizado por um agente de ameaça que tenta realizar o login com nome de usuário e senha comum em diversos servidores, até que tenha obtido o resultado positivo.  

Abaixo, é possível ver a distribuição no mapa:

Figura 2 – Distribuição do SSH Brute Force

Endereços de IP

Outro principal rastro que os agentes de ameaças deixam e que auxiliam a identificar é o endereço de IP, o qual é considerado uma informação muito valiosa para rastrear e estudar os agentes de ameaças, visando se proteger do domínio e endereço de IP considerado malicioso.

A ISH coleta e analisa diariamente a atividade maliciosa desses principais ofensores de acordo com o print abaixo, onde do dia 01/10 a 01/11 coletamos e analisamos 52,667 endereços de IP maliciosos que foram prontamente compartilhados com os clientes via MISP.  

Figura 3 – Geolocalização de endereços IP maliciosos tratados no GTI
Figura 4 – Evento no MISP relacionado a endereços IP maliciosos

Após apresentarmos as principais ameaças, vulnerabilidades e endereços maliciosos, nós da ISH vamos abordar sobre mais uma ameaça que retornou, desta vez como malware do tipo pós pagamento: o Prilex.

Malware Prilex

Os agentes de ameaças conhecidos como Prilex estão ativos desde meados de 2014, cujas amostras e artefatos maliciosos visavam realizar fraudes em cartões de créditos. Porém, em 2016, foi identificada e vinculada a campanha direcionada a caixas eletrônicos aqui no Brasil.

No ano de 2017, este agente de ameaça alterou seus ataques de caixas eletrônicos para ataques em dispositivos de Pontos de Venda (PoS), ou seja, as máquinas utilizadas para realizar o recebimento de pagamentos via cartões de crédito e débito.  

Principais notícias

A primeira campanha identificada dos agentes foi em 2014, quando atingiram centenas de caixas eletrônicos em todo o Brasil. Os agentes utilizaram um dispositivo de blackbox configurado com um modem USB 4G para controlar remotamente a máquina. Esta caixa preta foi fisicamente anexada ao caixa eletrônico e sua real finalidade era servir como um backdoor com um intuito de sequestrar a conexão sem fio da máquina e direcionar os outros caixas eletrônicos que estavam no mesmo segmento de rede.

Já em 2017, foi identificada outra campanha, desta vez não era realizadas em caixas eletrônicos, mas sim em sistemas de pontos de venda. Os agentes interceptaram transações para capturar o criptograma usado na transação EMV e realizar um ataque de repetição. O malware foi capaz de capturar dados da Faixa 2 e detalhes de cartões que posteriormente foram encaminhados aos servidores C2 do grupo.

Em meados de julho de 2020, outra campanha do grupo foi localizada visando fornecer o software POS malicioso para outros agentes maliciosos, os quais compraram o malware e utilizaram como espécie de MaaS (Malware-as-a-Service).

Como opera o grupo

Com relação ao modus operandi do Prilex para os dispositivos do tipo ATM, foi identificada a utilização de uma “blackbox” conectado à rede que permitia que o invasor instalasse o malware nos computadores remotamente. Neste tipo de ataque, os agentes conheciam as credenciais de login de administrador, sugerindo um possível “Insider” dentro das instituições financeiras afetadas.

Já com o novo método de ataque, utilizando-se de software malicioso de pós-pagamento (PoS), os agentes maliciosos entram em contato com as empresas que utilizam determinado serviço afirmando serem suporte de software e solicitam às vítimas que instalem uma atualização crítica no sistema.

A atualização instalada é um software de conexão/administração remota, como por exemplo o Team Viewer ou o AnyDesk, auxiliando o agente malicioso na capacidade de controlar remotamente o sistema.

Após isto, eles realizam a utilização de funções hooking utilizado por softwares responsáveis para gerenciar transações de cartões para capturar e modificar os dados que estão sendo transferidos entre o software e o pinpad. Este tipo de ataque possui duas versões com diferentes métodos de fraude:

  • Coletar o criptograma de transação para realizar ataques de repetição.
  • Gerar novos criptogramas de cartão que serão usados posteriormente pelos invasores.
Figura 5 – Exemplo de ataque de malware PoS

Os afiliados deste agente de ameaça, após realizarem a coleta das informações, recebem as informações por meio de uma ferramenta de aplicação denominada “Daphne”, utilizada para clonar cartões, recebendo ainda um acesso a um banco de dados contendo números de cartões.

Os agentes de ameaças possuem um site para realizar a venda do malware na Deep Web, conforme imagem abaixo do site.

Figura 6 – Portal do Prilex na rede Tor

Na descrição dos malwares oferecidos pelo grupo, estes afirmam que o desenvolvido pelos agentes pode realizar a clonagem de cartões, os quais podem ser utilizados para saques em dinheiro e compras diversas.

Outro tipo de ameaça divulgada pelo grupo é a venda de Máquinas POS comprometidas, ou seja, utilizadas para leitura de cartões de crédito e débito inseridas por meio de “shimmers”, o qual são inseridos nas máquinas. Eles possuem um microchip embutido que acaba por roubar e armazenar dados de cartão de crédito e débito toda vez que uma pessoa usa seu cartão para fazer um pagamento ou sacar dinheiro.

Os dados do chip do cartão são armazenados no dispositivo e, em sequência, é realizado o envio dos dados diretamente via SMS, podendo, assim, serem controlados remotamente.

Serviço de ataque DDoS

O agente de ameaça Prilex, oferece ainda em seu site a disponibilização e venda de serviço de ataque DDoS, ou seja, o usuário poderá comprar a ordem de ataques DDoS (Distributed Denial of Service), onde é necessário realizar o contato com os agentes para utilização do serviço.

Como funcionam os dispositivos “POS”

Um dispositivo POS está conectado a um computador – que pode ser um computador comum ou um que possui um sistema operacional específico para POS, e tem um software do POS instalado nele, que pode ser do fornecedor que criou o dispositivo. O software da máquina pode ler as informações do cartão de pagamento passado no dispositivo POS, conseguindo extrair informações como número do cartão, validade e assim por diante, e pode até validar o cartão conectando-se ao servidor de processamento de pagamento.

Com isso, as informações são armazenadas em nossos cartões de pagamento de uma maneira específica. O cartão de pagamento possui uma faixa magnética dividida em três: 1, 2 e 3. Estas faixas contêm vários tipos de informações, como principal número da conta, nome do titular do cartão, data de validade e outros dados necessários para realizar a forma de pagamento.  

Por exemplo, a faixa 1 do cartão possui o formato ilustrado abaixo:

Para melhor entendimento, criamos uma tabela para que possa ser possível identificar os dados repassados:

%Indica o início da faixa 1.
BIndica cartão de crédito ou débito
PNIndica o número da conta primária (NCP) e pode conter até 19 dígitos.
^Separador
LNIndica o sobrenome da pessoa titular
\Separador
FNIndica o nome da pessoa titular
^Separador
YYMMIndica a data de validade do cartão no formato de ano e data
SCCódigo do serviço
DDDados discricionários
?Indica o fim da faixa 1

Os dados da faixa devem aparecer da seguinte forma: %B12345678901234^ULTIMONOME/PRIMEIRONOME^2203111001000111000000789000000?

Com isto, o software POS pode ler esta informação do cartão que é passado no dispositivo e armazenar as informações em sua memória virtual. Ele usa então essas informações armazenadas na memória para realizar o processo de pagamento, que inclui a autenticação seguida pela transação.

Indicadores de comprometimento

Md5
23b5740cc655de46d5f46ffdb78a9da0
7ab092ea240430f45264b5dcbd350156
64464d5e9049375a8417497f387b73d7
5aba9e5407ce6e84d17aaf922a70e747
d130ef499a395a0cc53d750c2955a075
34fb450417471eba939057e903b25523
26dcd3aa4918d4b7438e8c0ebd9e1cfd
f5ff2992bdb1979642599ee54cfbc3d3
af063af98b5332792d8e611b239533e1
7ae9043778fee965af4f8b66721bdfab
ba3554dcce534ce15f88543fb864b4c2
5387f11dbc06260049a1a92d1912a160
1432980adc8c6b268a3c50803dbe295a
37894433ba79853954d3f5f1209dd1a         
f9d5f011ac902d1eef129f3f6253147c
22dc6744cf0f0a361e5ed81f2f9f4712
570a09a349345fd6f2e615b9f3294b1
ac6d36647b90d7b4f9c3835620e1e0ae
92ce37c9d99bca5e3882027757f75c22
17c010884dc1b2b16446a2ed42c89ed5
SHA1
ba8fefbe6963f108fd331f25a9ca98d9026412b9
7fb775e50b2b9e0b6de4cb490bdf03881abe9260
927225fec81ac77265945e612c19428ac49070e7
f617627412d1225b62ceb0f0f518ce8bed0a96cc
1bf7777bb8fe517cc438d30a3c9c86980ac09517
9902e8e7adae0a1100d24f7ed6e609fad3ad0dcf
4493eb7428384c62611a7ca5cc5d5a378926c169
872397b3ac67821b1aa23cf6b4efaf9115b2d715
48cefb85cf40fbeb6ea11aeacd184bbeb23ee5f8
167375e0eb4ef26ca642ace014d2ad18c26eca1f
0067866ecd10cec791fa4b1af52e84825e5456cb
e47c2748f1d5a5410d184d8588e1027613fb2e45
SHA256
669bc5b9995b1cd76e5fb59925158c25c8da7ab9b6a5650088757ad5d730b223
0cf96b659642809cc968e491622becfa5e7e4f8f623b9bc27ad3f9241cb4ff35
90739b847406e362f73d49e48b8bf366276eea2ec750aa535b6ab6f3fadff294
b3af54f8ea2e08f9ef4069fa4f87f22960cbb84519a1a86487acb82214f0995a
605481bd2e37f0212637653273d866a3c47ee72cfde7207d915ffe6e5093b28e
5cc18fa2204e0bee1f70b53af1fabe03ecce2b2b5e8baecb6fcfc76d2e8395c7
a1ee1a386472493735f772e87e31c44bbacc058d37faade1a8ded4e2abb83939
36e1bde1c7e2acca43895799ec23e8a13cffa0dd52d0c72e888926971f2f2476
7e44f74993781edc47017a243be7bbe1ab3439f37760e50db29788f5646fcb57
cb74e08d23c70dde7f6efebfee49563e569ccfff1541c9d5d96842fc8e8926b3
5eff328e4227ffdddf1f018b56fc3d8d8d65fbfcddb60fa52aa523f160b739dd
92e9ee53617b649dc3d1f57183b727f0274607f17e372b4fe5d5880c587eaa66
Endereços IP e URL
daphne.ddns.com.br
daphne1.ddns.com.br
daphne2.ddns.com.br
daphne1.sytes.net
daphne2.sytes.net
newbackup3.sytes.net
newtefssh.sytes.net
prdxtefwork.sytes.net
samsystem.ddnsking.com
prdxboss3.ddns.net
prdxboss2.ddns.net
prdxboss1.ddns.net
prdxboss1.chickenkiller.com
newtefssh.sytes.net
newbackup3.sytes.net
http://prdxboss1.chickenkiller.com:10003
olddossys.mooo.com
prdxboss1.chickenkiller.com

Identificando ataques aos POS

Após descrevermos mais sobre o agente de ameaça Prilex, existem algumas medidas que podem ser utilizadas e adotadas visando identificar malware de pós pagamento.

O malware pode ser identificado pelo conjunto de APIs que utiliza e, isto poderá ser obtido por meio de análise dinâmica de artefatos maliciosos. O malware no momento de execução realiza o escaneamento da memória do processo de software POS, para o que precisa primeiramente pesquisar no sistema.

As funções de APIs utilizadas pela maioria dos malwares POS utilizam as funções:

  • CreateToolhelp32Snapshot
  • Process32FirstW
  • Process32NextW
  • NtOpenProcess
  • ReadProcessMemory

Em seus logs de API, poderá ver chamadas contínuas para ReadProcessMemory após a chamada de função NTOpenProcess.  Isso ocorre porque os blocos de memória são lidos sequencialmente e em seguida escaneados para o número do cartão de crédito e débito, como, por exemplo, nas chamadas a seguir:

ReadProcessMemory([process_handle]0x000001A4, [base_address]0x00010000) ReadProcessMemory([process_handle]0x000001A4, [base_address]0x00020000) ReadProcessMemory([process_handle]0x000001A4,  [base_address]0x0012D000) ReadProcessMemory([process_handle]0x000001A4,  [base_address]0x00140000)

Por fim, podemos visualizar a importância de monitoramento do ambiente, principalmente para o fato de identificar novas ameaças, por isto, a ISH se empenha todos os dias visando monitorar as ameaças e os principais grupos de ameaças e realizar a análise dos artefatos maliciosos utilizados.

Agentes de ameaças de ataques POS

Listamos algumas das principais famílias de malwares que visam ataques de POS, ou seja, em pós pagamentos, incluindo o resumo de suas atividades e dicas de identificação.

  • Constantine: Um backdoor utilizado para gerenciar máquinas infectadas e depurar o malware em caso de algum problema. Este backdoor está em uso desde as primeiras campanhas direcionadas a ATMs, ou caixas eletrônicos.
  • PrilexATM: O principal módulo utilizado para dispensar o dinheiro dos caixas eletrônicos infectados. Para isto, utiliza três bibliotecas específicas (P32disp0.dll, P32mmd.dll e P32afd.dl).
  • Logus: Um malware do tipo stealer criado para interceptar e coletar informações entre o dispositivo de pagamento e o software para capturar as informações do cartão.
  • Ghost: Variante do Stealer Logs, esta versão solicita ao cartão novas criptografias válidas em vez de reutilizar o original como um ataque de repetição.
  • SendKernel/SendCab: Um módulo de upload usado para subir as informações roubadas para o servidor do operador.

Referências: