FABIO ASSOLINI

Senior Security Researcher

La evolución del malware de PoS en América Latina

¿Quien soy yo?

‣ Fabio Assolini

Analista Senior de Malware desde 2009

Miembro del Global Research and AnalysisTeam (GReAT)

Twitter.com/Assolini

“Porque nada hay encubierto, que no haya de ser descubierto;

ni oculto, que no haya de ser sabido”.

Lucas 12:2

El “dinero plástico” en América Latina

3

• Actualmente, un 22% de la población adulta en la región dispone de al menos una tarjeta de crédito

• Las tarjetas se usan en el 72% de transacciones de pagos en América Latina

• Más de 390 millones de ’dinero plástico’ en uso (2015) (1)

• Las Fintechs facilitarón la emisión de tarjetas sin cuota anual

¿Cómo se clona una tarjeta hoy?

4

Skimmers/ Chupa-cabras Cajeros Falsos

PhishingIngeniería Social Malware en Sistemas de Pagos (PoS)

Datafonos adulterados

Los blancos del malware de PoS

5

¿Y las tarjetas con CHIP?

6

Skimmer encontradoen México que puede

clonar tarjetas con chip (1) ¡Robo del Chip! (2)

¡Para compras en línea, el CHIP no es necesario, solo se necesita capturar los datos de la tarjeta! (Track 1 y Track 2)

• RawPOS fue el primer malware, descubierto por Visa em Oct/2008

• Los ataques se pasan desde 2005 (usando otras tecnicas)

• Hoy tenemos ~40 familias de malware PoS en nuestra colección, incluso los que fueron creados en América Latina

Malware de PoS

7

Backdoor.Win32.Backoff

Backdoor.Win32.Desty

Backdoor.Win32.Suceful

Backdoor.Win32.Prilex

Trojan.MSIL.MajikPOS

Trojan.Win32.Abaddon

Trojan.Win32.AbaddonPOS

Trojan.Win32.Anunak

Trojan.Win32.BrutePOS

Trojan.Win32.Carbanak

Trojan.Win32.CustomCarbanak

Trojan.Win32.FastPOS

Trojan.Win32.JackPOS

Trojan.Win32.LogPOS

Trojan.Win32.DexterPOS

Trojan.Win32.MalumPOS

Trojan.Win32.Prilex

Trojan.Win32.RawPOS

Trojan-Banker.MSIL.Atmer

Trojan-Banker.Win32.LusyPOS

Trojan-Banker.Win32.NeoPocket

Trojan-Banker.Win32.NeutrinoPOS

Trojan-Downloader.Win32.Carbanak

Trojan-Dropper.Win32.POS

Trojan-Spy.BAT.POS

Trojan-Spy.MSIL.POS

Trojan-Spy.MSIL.POSChebac

Trojan-Spy.Win32.Carbanak

Trojan-Spy.Win32.Kaptoxa

Trojan-Spy.Win32.NitchyBit

Trojan-Spy.Win32.POS

Trojan-Spy.Win32.POSBrut

Trojan-Spy.Win32.POSCardStealer

Trojan-Spy.Win32.POSeidon

Trojan-Spy.Win32.POSJack

Trojan-Spy.Win32.POSNitlov

Trojan-Spy.Win32.POSKatrin

Trojan-Spy.Win32.POSSoraya

Trojan-Spy.Win32.SPSniffer

Trojan-Spy.Win32.Zabeat

• Desde 2005 los criminales usaban programas legítimos para interceptar lacomunicación proveniente del teclado numérico

• La comunicación no era cifrada! Con un software sniffer instalado en la computadora se podría capturar el trafego de las puertas USB o Serial, capturando el Track 1 y Track 2 de las tarjetas, suficientes para clonarlas.

• Albert Gonzales robó 90 milliones de tarjetas en EEUU com esta técnica en 2005 (1)

Ataques a los PIN Pads (2005 ~ hoy)

8

• Investigación en conjunto con Visa Brasil

• Los ataques empezaron en 2010, y fueutilizado hasta 2014, mas de 40 modificaciones

• Instalación manual, usado especialmente en gasolineras

• Solución: actualización del firmware de los PINPads, aplicando criptografia. Hoy esta técnica ya no es mu

• Contraseña usada para cifrar lastarjetas robadas: “Robin Hood”

Trojan-Spy.Win32.SPSniffer - (2005 ~ hoy)

9

• El malware de PoS tiene funciones de Memory-scraping de la memoria RAM, buscando colectar datos importantescomo el Track 1, 2, 3. Es común que los datos en la memoria del computador no sean cifrados

• Através de comparaciones y del algoritmo de Luhn, el malware encuentra los datos y los envía al criminal

• La computadora es infectada por un adjunto malicioso abierto por la víctima o de otras formas ya conocidas

Malware de PoS – cómo funciona?

10

Malware de PoS – cómo funciona?

11

Malware de PoS – Estadísticas de Detección en America Latina (2016-2018)

12

2015: +1300 ataques/año

Razon: Dexter open-source

13 mil ataques registrados en la región en 2 años

0

200

400

600

800

1000

1200

PoS Malware - Latin America - 2016-2018

Total

0

200

400

600

800

1000

1200

CY 2017October

CY 2017November

CY 2017December

CY 2018January

CY 2018February

CY 2018March

CY 2018April

CY 2018May

CY 2018June

CY 2018July

CY 2018August

CY 2018September

CY 2018October

PoS Malware - Latin America - Out17 - Out18

Total

Malware de PoS – Estadísticas de Detección (Out/17 – Out/18)

13

En 1 año promedio de 526 ataques al mês en la región

Malware de PoS – Estadísticas de Detección – Colombia

14

0

10

20

30

40

50

60

70

80

PoS Malware - Colombia 2017 - 2018

Total

Octubre 2017: 70 ataques bloqueados

Malware de PoS – Estadísticas de Detección – Cantidad de Ataques 2017

15

Posición

Ranking GlobalPais % region

4 Brasil 77,37%

16 México 11,63%

32 Ecuador 3,20%

43 Perú 2,16%

57 Colombia 1,60%

63 Venezuela 1,46%

65 Argentina 1,25%

96 Chile 0,56%

104 Bolivia 0,42%

121 Guatemala 0,14%

128 Costa Rica 0,07%

1 solo ataque: posibles perdidas de millones, depende del blanco...

Dexter – el malware PoS gratis y open source + keylogger

16

Alina/ Katrina (2015)

17

• Descubierto en 2015, sigue evolucionando hasta hoy, variante de Alina

• Negociado por 10 bitcoins (~U$2.200)

• Comercializado por criminales de Europa Oriental pero usado globalmente

NeutrinoPOS

18

• Descubierto en 2015, sigue evolucionando hasta hoy

• También usado en ataques de DDoS

• Comercializado por criminales de Europa Oriental

19

Prilex: de malware del cajero al PoS

Network HUB

4G Modem

Raspberry PI

Prilex (2017)

20

• Desarrolado desde el zero por criminales brasileños

• La banda criminal es especializada en el desarollo de malware de ATM y PoS

• Adopta el modelo MaaS (Malware as a Service)

Prilex (2017) – el vector de distribución

21

22

PRILEX MALWARE

PRILEX C2 DAPHNE SERVER

DAPHNE CLIENT

Prilex (2017) – como funciona

23

Prilex (2017) – busca los bytes y hace el parche!

24

Prilex (2017) – diganos los que tiene

25

Prilex (2017) – Daphine Enterprise

26

Prilex (2017) – GPShell e JAVA SMART CARDS

27

Prilex (2017) – el hardware

28

Prilex (2017) – MacGyver

29

30

Application Interchange Profile

4000 (BYTE 1 BIT 7) SDA SUPPORTED

1000 (BYTE 1 BIT 5) CARDHOLDER VERIFICATION IS SUPPORTED

0800 (BYTE 1 BIT 4) TERMINAL RISK MANAGEMENT IS TO BE PERFORMED

0000 (BYTE 2 BIT 8) ONLY MAGSTRIPE MODE SUPPORTED

31

Static Data Authentication

SIGNED STATIC APPLICATION DATA

(SSAD)

HASHED DATA – SOLO AIP

NO PUEDE EVITAR LA CLONACIÓN DE

LA TARJETA

32

Que esperar para el futuro…

33

Resultado del robo: criminales celebrando en Youtube

34

Resultado del robo: los bineros hacen la reventa en el underground*

35

36

Sistema Financiero:

• Implementar todas las reglas del PCI-DSS!

• Full grade: validar todas las etapas del pago

• Threat Intel: entender los ataques que pasan em otras regiones: tarde o temprano llegaran aqui!

• Hunting: YARA FTW!

• Monitoreo de los ataques locales com respuestas rápidas!

• Entrenamiento: conocimientos de ingeniería inversa de malware es deseable en un SOC/CSIRT

• Utilizar un software robusto de seguridad en las computadoras donde están conectados los sistemas de pagos (1)

Conclusión: ¿qué hacer para protegerse?

► ¿Preguntas? ¡Gracias!

Fabio Assolini

Analista Senior de Malware

Fabio.Assolini@Kaspersky.com

Twitter.com/Assolini