Post on 10-Jul-2020
FABIO ASSOLINI
Senior Security Researcher
La evolución del malware de PoS en América Latina
¿Quien soy yo?
‣ Fabio Assolini
Analista Senior de Malware desde 2009
Miembro del Global Research and AnalysisTeam (GReAT)
Twitter.com/Assolini
“Porque nada hay encubierto, que no haya de ser descubierto;
ni oculto, que no haya de ser sabido”.
Lucas 12:2
El “dinero plástico” en América Latina
3
• Actualmente, un 22% de la población adulta en la región dispone de al menos una tarjeta de crédito
• Las tarjetas se usan en el 72% de transacciones de pagos en América Latina
• Más de 390 millones de ’dinero plástico’ en uso (2015) (1)
• Las Fintechs facilitarón la emisión de tarjetas sin cuota anual
¿Cómo se clona una tarjeta hoy?
4
Skimmers/ Chupa-cabras Cajeros Falsos
PhishingIngeniería Social Malware en Sistemas de Pagos (PoS)
Datafonos adulterados
Los blancos del malware de PoS
5
¿Y las tarjetas con CHIP?
6
Skimmer encontradoen México que puede
clonar tarjetas con chip (1) ¡Robo del Chip! (2)
¡Para compras en línea, el CHIP no es necesario, solo se necesita capturar los datos de la tarjeta! (Track 1 y Track 2)
• RawPOS fue el primer malware, descubierto por Visa em Oct/2008
• Los ataques se pasan desde 2005 (usando otras tecnicas)
• Hoy tenemos ~40 familias de malware PoS en nuestra colección, incluso los que fueron creados en América Latina
Malware de PoS
7
Backdoor.Win32.Backoff
Backdoor.Win32.Desty
Backdoor.Win32.Suceful
Backdoor.Win32.Prilex
Trojan.MSIL.MajikPOS
Trojan.Win32.Abaddon
Trojan.Win32.AbaddonPOS
Trojan.Win32.Anunak
Trojan.Win32.BrutePOS
Trojan.Win32.Carbanak
Trojan.Win32.CustomCarbanak
Trojan.Win32.FastPOS
Trojan.Win32.JackPOS
Trojan.Win32.LogPOS
Trojan.Win32.DexterPOS
Trojan.Win32.MalumPOS
Trojan.Win32.Prilex
Trojan.Win32.RawPOS
Trojan-Banker.MSIL.Atmer
Trojan-Banker.Win32.LusyPOS
Trojan-Banker.Win32.NeoPocket
Trojan-Banker.Win32.NeutrinoPOS
Trojan-Downloader.Win32.Carbanak
Trojan-Dropper.Win32.POS
Trojan-Spy.BAT.POS
Trojan-Spy.MSIL.POS
Trojan-Spy.MSIL.POSChebac
Trojan-Spy.Win32.Carbanak
Trojan-Spy.Win32.Kaptoxa
Trojan-Spy.Win32.NitchyBit
Trojan-Spy.Win32.POS
Trojan-Spy.Win32.POSBrut
Trojan-Spy.Win32.POSCardStealer
Trojan-Spy.Win32.POSeidon
Trojan-Spy.Win32.POSJack
Trojan-Spy.Win32.POSNitlov
Trojan-Spy.Win32.POSKatrin
Trojan-Spy.Win32.POSSoraya
Trojan-Spy.Win32.SPSniffer
Trojan-Spy.Win32.Zabeat
• Desde 2005 los criminales usaban programas legítimos para interceptar lacomunicación proveniente del teclado numérico
• La comunicación no era cifrada! Con un software sniffer instalado en la computadora se podría capturar el trafego de las puertas USB o Serial, capturando el Track 1 y Track 2 de las tarjetas, suficientes para clonarlas.
• Albert Gonzales robó 90 milliones de tarjetas en EEUU com esta técnica en 2005 (1)
Ataques a los PIN Pads (2005 ~ hoy)
8
• Investigación en conjunto con Visa Brasil
• Los ataques empezaron en 2010, y fueutilizado hasta 2014, mas de 40 modificaciones
• Instalación manual, usado especialmente en gasolineras
• Solución: actualización del firmware de los PINPads, aplicando criptografia. Hoy esta técnica ya no es mu
• Contraseña usada para cifrar lastarjetas robadas: “Robin Hood”
Trojan-Spy.Win32.SPSniffer - (2005 ~ hoy)
9
• El malware de PoS tiene funciones de Memory-scraping de la memoria RAM, buscando colectar datos importantescomo el Track 1, 2, 3. Es común que los datos en la memoria del computador no sean cifrados
• Através de comparaciones y del algoritmo de Luhn, el malware encuentra los datos y los envía al criminal
• La computadora es infectada por un adjunto malicioso abierto por la víctima o de otras formas ya conocidas
Malware de PoS – cómo funciona?
10
Malware de PoS – cómo funciona?
11
Malware de PoS – Estadísticas de Detección en America Latina (2016-2018)
12
2015: +1300 ataques/año
Razon: Dexter open-source
13 mil ataques registrados en la región en 2 años
0
200
400
600
800
1000
1200
PoS Malware - Latin America - 2016-2018
Total
0
200
400
600
800
1000
1200
CY 2017October
CY 2017November
CY 2017December
CY 2018January
CY 2018February
CY 2018March
CY 2018April
CY 2018May
CY 2018June
CY 2018July
CY 2018August
CY 2018September
CY 2018October
PoS Malware - Latin America - Out17 - Out18
Total
Malware de PoS – Estadísticas de Detección (Out/17 – Out/18)
13
En 1 año promedio de 526 ataques al mês en la región
Malware de PoS – Estadísticas de Detección – Colombia
14
0
10
20
30
40
50
60
70
80
PoS Malware - Colombia 2017 - 2018
Total
Octubre 2017: 70 ataques bloqueados
Malware de PoS – Estadísticas de Detección – Cantidad de Ataques 2017
15
Posición
Ranking GlobalPais % region
4 Brasil 77,37%
16 México 11,63%
32 Ecuador 3,20%
43 Perú 2,16%
57 Colombia 1,60%
63 Venezuela 1,46%
65 Argentina 1,25%
96 Chile 0,56%
104 Bolivia 0,42%
121 Guatemala 0,14%
128 Costa Rica 0,07%
1 solo ataque: posibles perdidas de millones, depende del blanco...
Dexter – el malware PoS gratis y open source + keylogger
16
Alina/ Katrina (2015)
17
• Descubierto en 2015, sigue evolucionando hasta hoy, variante de Alina
• Negociado por 10 bitcoins (~U$2.200)
• Comercializado por criminales de Europa Oriental pero usado globalmente
NeutrinoPOS
18
• Descubierto en 2015, sigue evolucionando hasta hoy
• También usado en ataques de DDoS
• Comercializado por criminales de Europa Oriental
19
Prilex: de malware del cajero al PoS
Network HUB
4G Modem
Raspberry PI
Prilex (2017)
20
• Desarrolado desde el zero por criminales brasileños
• La banda criminal es especializada en el desarollo de malware de ATM y PoS
• Adopta el modelo MaaS (Malware as a Service)
Prilex (2017) – el vector de distribución
21
22
PRILEX MALWARE
PRILEX C2 DAPHNE SERVER
DAPHNE CLIENT
Prilex (2017) – como funciona
23
Prilex (2017) – busca los bytes y hace el parche!
24
Prilex (2017) – diganos los que tiene
25
Prilex (2017) – Daphine Enterprise
26
Prilex (2017) – GPShell e JAVA SMART CARDS
27
Prilex (2017) – el hardware
28
Prilex (2017) – MacGyver
29
30
Application Interchange Profile
4000 (BYTE 1 BIT 7) SDA SUPPORTED
1000 (BYTE 1 BIT 5) CARDHOLDER VERIFICATION IS SUPPORTED
0800 (BYTE 1 BIT 4) TERMINAL RISK MANAGEMENT IS TO BE PERFORMED
0000 (BYTE 2 BIT 8) ONLY MAGSTRIPE MODE SUPPORTED
31
Static Data Authentication
SIGNED STATIC APPLICATION DATA
(SSAD)
HASHED DATA – SOLO AIP
NO PUEDE EVITAR LA CLONACIÓN DE
LA TARJETA
32
Que esperar para el futuro…
33
Resultado del robo: criminales celebrando en Youtube
34
Resultado del robo: los bineros hacen la reventa en el underground*
35
36
Sistema Financiero:
• Implementar todas las reglas del PCI-DSS!
• Full grade: validar todas las etapas del pago
• Threat Intel: entender los ataques que pasan em otras regiones: tarde o temprano llegaran aqui!
• Hunting: YARA FTW!
• Monitoreo de los ataques locales com respuestas rápidas!
• Entrenamiento: conocimientos de ingeniería inversa de malware es deseable en un SOC/CSIRT
• Utilizar un software robusto de seguridad en las computadoras donde están conectados los sistemas de pagos (1)
Conclusión: ¿qué hacer para protegerse?
► ¿Preguntas? ¡Gracias!
Fabio Assolini
Analista Senior de Malware
Fabio.Assolini@Kaspersky.com
Twitter.com/Assolini