La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América...
Transcript of La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América...
![Page 1: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/1.jpg)
FABIO ASSOLINI
Senior Security Researcher
La evolución del malware de PoS en América Latina
![Page 2: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/2.jpg)
¿Quien soy yo?
‣ Fabio Assolini
Analista Senior de Malware desde 2009
Miembro del Global Research and AnalysisTeam (GReAT)
Twitter.com/Assolini
“Porque nada hay encubierto, que no haya de ser descubierto;
ni oculto, que no haya de ser sabido”.
Lucas 12:2
![Page 3: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/3.jpg)
El “dinero plástico” en América Latina
3
• Actualmente, un 22% de la población adulta en la región dispone de al menos una tarjeta de crédito
• Las tarjetas se usan en el 72% de transacciones de pagos en América Latina
• Más de 390 millones de ’dinero plástico’ en uso (2015) (1)
• Las Fintechs facilitarón la emisión de tarjetas sin cuota anual
![Page 4: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/4.jpg)
¿Cómo se clona una tarjeta hoy?
4
Skimmers/ Chupa-cabras Cajeros Falsos
PhishingIngeniería Social Malware en Sistemas de Pagos (PoS)
Datafonos adulterados
![Page 5: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/5.jpg)
Los blancos del malware de PoS
5
![Page 6: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/6.jpg)
¿Y las tarjetas con CHIP?
6
Skimmer encontradoen México que puede
clonar tarjetas con chip (1) ¡Robo del Chip! (2)
¡Para compras en línea, el CHIP no es necesario, solo se necesita capturar los datos de la tarjeta! (Track 1 y Track 2)
![Page 7: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/7.jpg)
• RawPOS fue el primer malware, descubierto por Visa em Oct/2008
• Los ataques se pasan desde 2005 (usando otras tecnicas)
• Hoy tenemos ~40 familias de malware PoS en nuestra colección, incluso los que fueron creados en América Latina
Malware de PoS
7
Backdoor.Win32.Backoff
Backdoor.Win32.Desty
Backdoor.Win32.Suceful
Backdoor.Win32.Prilex
Trojan.MSIL.MajikPOS
Trojan.Win32.Abaddon
Trojan.Win32.AbaddonPOS
Trojan.Win32.Anunak
Trojan.Win32.BrutePOS
Trojan.Win32.Carbanak
Trojan.Win32.CustomCarbanak
Trojan.Win32.FastPOS
Trojan.Win32.JackPOS
Trojan.Win32.LogPOS
Trojan.Win32.DexterPOS
Trojan.Win32.MalumPOS
Trojan.Win32.Prilex
Trojan.Win32.RawPOS
Trojan-Banker.MSIL.Atmer
Trojan-Banker.Win32.LusyPOS
Trojan-Banker.Win32.NeoPocket
Trojan-Banker.Win32.NeutrinoPOS
Trojan-Downloader.Win32.Carbanak
Trojan-Dropper.Win32.POS
Trojan-Spy.BAT.POS
Trojan-Spy.MSIL.POS
Trojan-Spy.MSIL.POSChebac
Trojan-Spy.Win32.Carbanak
Trojan-Spy.Win32.Kaptoxa
Trojan-Spy.Win32.NitchyBit
Trojan-Spy.Win32.POS
Trojan-Spy.Win32.POSBrut
Trojan-Spy.Win32.POSCardStealer
Trojan-Spy.Win32.POSeidon
Trojan-Spy.Win32.POSJack
Trojan-Spy.Win32.POSNitlov
Trojan-Spy.Win32.POSKatrin
Trojan-Spy.Win32.POSSoraya
Trojan-Spy.Win32.SPSniffer
Trojan-Spy.Win32.Zabeat
![Page 8: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/8.jpg)
• Desde 2005 los criminales usaban programas legítimos para interceptar lacomunicación proveniente del teclado numérico
• La comunicación no era cifrada! Con un software sniffer instalado en la computadora se podría capturar el trafego de las puertas USB o Serial, capturando el Track 1 y Track 2 de las tarjetas, suficientes para clonarlas.
• Albert Gonzales robó 90 milliones de tarjetas en EEUU com esta técnica en 2005 (1)
Ataques a los PIN Pads (2005 ~ hoy)
8
![Page 9: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/9.jpg)
• Investigación en conjunto con Visa Brasil
• Los ataques empezaron en 2010, y fueutilizado hasta 2014, mas de 40 modificaciones
• Instalación manual, usado especialmente en gasolineras
• Solución: actualización del firmware de los PINPads, aplicando criptografia. Hoy esta técnica ya no es mu
• Contraseña usada para cifrar lastarjetas robadas: “Robin Hood”
Trojan-Spy.Win32.SPSniffer - (2005 ~ hoy)
9
![Page 10: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/10.jpg)
• El malware de PoS tiene funciones de Memory-scraping de la memoria RAM, buscando colectar datos importantescomo el Track 1, 2, 3. Es común que los datos en la memoria del computador no sean cifrados
• Através de comparaciones y del algoritmo de Luhn, el malware encuentra los datos y los envía al criminal
• La computadora es infectada por un adjunto malicioso abierto por la víctima o de otras formas ya conocidas
Malware de PoS – cómo funciona?
10
![Page 11: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/11.jpg)
Malware de PoS – cómo funciona?
11
![Page 12: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/12.jpg)
Malware de PoS – Estadísticas de Detección en America Latina (2016-2018)
12
2015: +1300 ataques/año
Razon: Dexter open-source
13 mil ataques registrados en la región en 2 años
0
200
400
600
800
1000
1200
PoS Malware - Latin America - 2016-2018
Total
![Page 13: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/13.jpg)
0
200
400
600
800
1000
1200
CY 2017October
CY 2017November
CY 2017December
CY 2018January
CY 2018February
CY 2018March
CY 2018April
CY 2018May
CY 2018June
CY 2018July
CY 2018August
CY 2018September
CY 2018October
PoS Malware - Latin America - Out17 - Out18
Total
Malware de PoS – Estadísticas de Detección (Out/17 – Out/18)
13
En 1 año promedio de 526 ataques al mês en la región
![Page 14: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/14.jpg)
Malware de PoS – Estadísticas de Detección – Colombia
14
0
10
20
30
40
50
60
70
80
PoS Malware - Colombia 2017 - 2018
Total
Octubre 2017: 70 ataques bloqueados
![Page 15: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/15.jpg)
Malware de PoS – Estadísticas de Detección – Cantidad de Ataques 2017
15
Posición
Ranking GlobalPais % region
4 Brasil 77,37%
16 México 11,63%
32 Ecuador 3,20%
43 Perú 2,16%
57 Colombia 1,60%
63 Venezuela 1,46%
65 Argentina 1,25%
96 Chile 0,56%
104 Bolivia 0,42%
121 Guatemala 0,14%
128 Costa Rica 0,07%
1 solo ataque: posibles perdidas de millones, depende del blanco...
![Page 16: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/16.jpg)
Dexter – el malware PoS gratis y open source + keylogger
16
![Page 17: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/17.jpg)
Alina/ Katrina (2015)
17
• Descubierto en 2015, sigue evolucionando hasta hoy, variante de Alina
• Negociado por 10 bitcoins (~U$2.200)
• Comercializado por criminales de Europa Oriental pero usado globalmente
![Page 18: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/18.jpg)
NeutrinoPOS
18
• Descubierto en 2015, sigue evolucionando hasta hoy
• También usado en ataques de DDoS
• Comercializado por criminales de Europa Oriental
![Page 19: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/19.jpg)
19
Prilex: de malware del cajero al PoS
Network HUB
4G Modem
Raspberry PI
![Page 20: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/20.jpg)
Prilex (2017)
20
• Desarrolado desde el zero por criminales brasileños
• La banda criminal es especializada en el desarollo de malware de ATM y PoS
• Adopta el modelo MaaS (Malware as a Service)
![Page 21: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/21.jpg)
Prilex (2017) – el vector de distribución
21
![Page 22: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/22.jpg)
22
PRILEX MALWARE
PRILEX C2 DAPHNE SERVER
DAPHNE CLIENT
Prilex (2017) – como funciona
![Page 23: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/23.jpg)
23
Prilex (2017) – busca los bytes y hace el parche!
![Page 24: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/24.jpg)
24
Prilex (2017) – diganos los que tiene
![Page 25: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/25.jpg)
25
Prilex (2017) – Daphine Enterprise
![Page 26: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/26.jpg)
26
Prilex (2017) – GPShell e JAVA SMART CARDS
![Page 27: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/27.jpg)
27
Prilex (2017) – el hardware
![Page 28: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/28.jpg)
28
Prilex (2017) – MacGyver
![Page 29: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/29.jpg)
29
![Page 30: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/30.jpg)
30
Application Interchange Profile
4000 (BYTE 1 BIT 7) SDA SUPPORTED
1000 (BYTE 1 BIT 5) CARDHOLDER VERIFICATION IS SUPPORTED
0800 (BYTE 1 BIT 4) TERMINAL RISK MANAGEMENT IS TO BE PERFORMED
0000 (BYTE 2 BIT 8) ONLY MAGSTRIPE MODE SUPPORTED
![Page 31: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/31.jpg)
31
Static Data Authentication
SIGNED STATIC APPLICATION DATA
(SSAD)
HASHED DATA – SOLO AIP
NO PUEDE EVITAR LA CLONACIÓN DE
LA TARJETA
![Page 32: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/32.jpg)
32
Que esperar para el futuro…
![Page 33: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/33.jpg)
33
![Page 34: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/34.jpg)
Resultado del robo: criminales celebrando en Youtube
34
![Page 35: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/35.jpg)
Resultado del robo: los bineros hacen la reventa en el underground*
35
![Page 36: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/36.jpg)
36
Sistema Financiero:
• Implementar todas las reglas del PCI-DSS!
• Full grade: validar todas las etapas del pago
• Threat Intel: entender los ataques que pasan em otras regiones: tarde o temprano llegaran aqui!
• Hunting: YARA FTW!
• Monitoreo de los ataques locales com respuestas rápidas!
• Entrenamiento: conocimientos de ingeniería inversa de malware es deseable en un SOC/CSIRT
• Utilizar un software robusto de seguridad en las computadoras donde están conectados los sistemas de pagos (1)
Conclusión: ¿qué hacer para protegerse?
![Page 37: La evolución del malware de PoS en América Latina · La evolución del malware de PoS en América Latina ... •Através de comparaciones y del algoritmo de Luhn, el malware encuentra](https://reader034.fdocuments.es/reader034/viewer/2022043015/5f37c2fb4c30c367775fa1d5/html5/thumbnails/37.jpg)
► ¿Preguntas? ¡Gracias!
Fabio Assolini
Analista Senior de Malware
Twitter.com/Assolini