Archivo de la categoría: Hacking

2014 – Una explosión de brechas de datos y malware específico para TPV

Numaan Huq, Threat Senior Research de Trend Micro

La industria de la seguridad informática siempre recordará 2013 como el año en que Estados Unidos fue víctima de una de las mayores brechas de datos de la historia. En un ataque dirigido, la cadena de grandes almacenes Target, se vio comprometida durante la campaña de Navidad utilizando el malware BlackPOS, una modalidad de malware específica para los terminales punto de venta (TPV o PoS) llamada RAM scraper, que se instala en la memoria de los terminales para robar tarjetas y claves. Se estima que los cibercriminales robaron 40 millones de números de tarjetas de crédito y débito, así como 70 millones de registros personales de los compradores de Target.

Desde que la violación de datos de Target se convirtió en el centro de atención, ha habido un flujo constante de comercios y retailers que han hecho público sus incidentes relacionados con la seguridad de sus datos. Estas brechas de datos, por lo general, conllevan el robo de datos de tarjetas de crédito utilizando la modalidad de malware recopiladores de RAM para TPV. A principios de este mes, Brian Krebs comunicó otra gran brecha de datos en la que se ha visto afectado el distribuidor estadounidense Home Depot y para la cual se ha utilizado una nueva variante de BlackPOS Pos RAM Scraper. Se cree que casi todas las filiales de Home Depot en EE.UU. se han visto afectadas y se estudia si esta fuga de datos podría haber superado la brecha que afectó a Target en términos de volumen de datos robados.

Además de un mayor número de brechas de datos, 2014 también está trayendo un aumento en el número de nuevas familias y variantes de recopiladores de RAM para TPV. El árbol genealógico creado por Trend Micro sobre recopiladores de RAM para TPV ilustra la evolución siguiente:

 

1

Figura 1: Evolución de la familia recopiladores de RAM para TPV

La primera evidencia de recopiladores de RAM para TPV se remonta a una Alerta de Seguridad de Datos de Visa, del 2 de octubre de 2008.Entonces los cibercriminales intentaron instalar las herramientas de depuración en los sistemas de puntos de venta para seguir las pistas de los datos de tarjetas de crédito 1 y 2 desde la memoria RAM. En 2009, Verizon también informó de la existencia de RAM scrapers para TPV junto a los perfiles de sus víctimas; los objetivos eran principalmente la industria comercial y de hostelería. Las familias de recopiladores de RAM para TPVcomenzaron a evolucionar en torno a finales de 2011. Tal y como se observa en el árbol genealógico, ha habido un lanzamiento constante de nuevas variantes de recopiladores de RAM scraper para TPV entre las que se encuentran nuevas brechas  y técnicas de extracción. Lo que se destaca en el gráfico de recopiladores de RAM para TPV es la alta concentración de las nuevas variantes que han surgido sólo en 2014. Seis variantes de esta familia de malware scraper aparecieron entre 2011 y 2013, pero los investigadores ya han descubierto el mismo número de variantes en lo que va de 2014. Tal y como se ilustra con las flechas, estas nuevas variantes ya han tomado prestadas las funcionalidades de sus predecesores o son evoluciones directas de modalidades de recopiladores de RAM para TPV más antiguas.

De las seis nuevas variantes descubiertas en 2014, cuatro lo fueron entre los meses de junio y agosto.

  • Soraya: descubierto en junio y es un malware inspirado en Dexter y ZeuS. Además de instalarse en la memoria RAM para extraer los datos de las pistas 1 y 2 de las tarjetas de crédito, toma prestado trucos de ZeuS para enganchar la API NtResumeThread, y se inyecta en todos los procesos nuevos. También toma prestada la funcionalidad de apropiación de ZeuS y capta la función HTTP POST del navegador. Trend Micro detecta variantes de Soraya como TSPY_SORAYA.A.
  • BrutPOS: descubierto en julio yparece haber tomado la funcionalidad de una variante BlackPOS. Intenta explotar los sistemas de los terminales punto de venta que utilizan contraseñas débiles o por defecto y tienen abierto los puertos de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés). BrutPOS tiene mayor fuerza en los inicios de sesión: combinaciones de contraseñas para poder entrar en el sistema. Trend Micro detecta variantes BrutPOS como TROJ_TIBRUN.ByTROJ_TIBRUN.SM.
  • Backoff: hallado en julio es el sucesor de Alina. Implementa una función de búsqueda de datos actualizada y baja un proceso de vigilancia que garantiza que Backoff se está ejecutando siempre en el sistema. Los ciberdelincuentes utilizan las herramientas disponibles para el público para forzar la entrada en aplicaciones RDP de los sistemas TPV e instalar Backoff. Trend Micro detecta variantes de Backoff como TSPY_POSLOGR.A, TSPY_POSLOGR.B, y TSPY_POSLOGR.C.
  • BlackPOS ver 2.0: encontrado en agosto, clona la técnica de extracción que la variante BlackPOS utilizó para comprometer a la cadena de almacenes estadounidense Target. BlackPOS ver 2.0 también añade una característica única donde pretende hacerse pasar por una solución antivirus instalada en el Sistema para evitar llamar la atención sobre sí mismo. Los informes indican que este malware parece que ha sido utilizado en la última gran brecha de datos en la que se ha visto comprometida Home Depot. Trend Micro detecta variantes de BlackPOS ver 2.0 como TSPY_MEMLOG.A.

Nota: Una variante de malware puede haber existido mucho antes de que se descubriera porque el seguimiento de las fechas exactas es una tarea extremadamente difícil de realizar.

Trend Micro ha elaborado un documento titulado: “Malware recopiladores de RAM para PoS: Pasado, Presente y Futuro”,en el que estudia y analiza el problema de recopiladores de RAM para TPV de la A a la Z, además de detallar lo siguiente:

 

  • Profundiza en el ecosistema TPV y describe cómo las transacciones de los sistemas punto de venta funcionan desde el momento en que los clientes deslizan sus tarjetas de crédito hasta el momento en que se realiza el cargo de sus compras.
  • Incluye una descripción de los tipos de datos que residen en la banda magnética de las tarjetas de pago.
  • Se analiza la evolución del malware recopiladores de RAM para TPV, desde sus sencillos comienzos hasta cómo se han convertido en las amenazas industrializadas de hoy.
  • Explora los diversos métodos de infección de recopiladores de RAM para TPV proporcionando un punto de vista técnico de las familias de malware recopiladores de RAM para TPV más predominantes hasta la fecha.
  • Detalla las técnicas de extracción de datos utilizadas por los recopiladores de RAM para TPV y examina lo que ocurre con los datos que los ciberdelincuentes extraen.
  • Se intenta predecir cómo será la próxima generación de recopiladores de RAM para TPV, cómo se verán los futuros vectores de ataque en los terminales punto de venta. Ç
  • Por último, el documento ofrece estrategias de prevención que las empresas pueden seguir para protegerse contra los RAM scrapers para TPV.

Si desea más información visite el Blog de Trend Micro en:   http://blog.trendmicro.com/trendlabs-security-intelligence/2014-an-explosion-of-data-breaches-and-pos-ram-scrapers/

 

Las implicaciones de seguridad de los portables. Parte 2

por David Sancho (Senior Threat Researcher)

 

En el post anterior, hablamos sobre la definición y las categorías de elementos portables. Ahora centraremos nuestra atención en los posibles ataques a este tipo de dispositivos.
La posibilidad de ser atacado varía mucho, en función de la categoría en la que nos centremos. La probabilidad de ataque se incrementa dependiendo de dónde tenga lugar el ataque. Por el contrario, las posibilidades de daño físico decrecen a medida que se aleje del dispositivo físico. Cuanto más se aleje el ataque del dispositivo, más se desplaza el foco hacia el robo de datos.
Riesgo bajo de usuario, alta probabilidad de ataques

Estos ataques son los más fáciles de lograr, pero tienen la aplicación más limitada contra el usuario. En este escenario, el atacante compromete al proveedor de la nube y es capaz de acceder a los datos almacenados allí.

 

smart-wearables-11. Los hackers acceden al proveedor de la nube para obtener los datos

Las cuentas de usuario suelen estar protegidas por el factor de autenticación única, muchas veces, por contraseñas. Los atacantes intentarán acceder a los datos en la nube mediante el empleo de tácticas como la utilización del mecanismo “recordar contraseña” del proveedor, utilizando un troyano que almacena los golpes de teclado, adivinando la contraseña basada en los datos del usuario de otra cuenta hackeada, o usando un ataque de fuerza bruta.

Una vez se tiene acceso a la cuenta, el atacante puede ver los datos procedentes de los dispositivos portátiles y utilizarlos para crear un mejor perfil del usuario con el fin de dirigirse a él con campañas específicas de spam. Esto no es nuevo: cuando el site de intercambio de Bitcoin MtGox experimentó una fuga de datos en 2011, los usuarios fueron atacados con el spam de servicios financieros. Siendo usuario de Bitcoin, los spammers asumieron que los usuarios responderían más a estafas financieras en lugar de, por ejemplo, a la de productos para perder peso.

Los atacantes de este tipo de escenario son cibercriminales con la capacidad de crear programas maliciosos y cuya fuente de ingresos viene principalmente de campañas de spam / publicidad. Los hackers especializados en robo de datos también pueden emplear este ataque cuando después pueden vender la información robada a otros para su monetización.

Riesgo medio de usuario, probabilidad media de los ataques

Estos ataques son más peligrosos y más fáciles de lograr, pero con un impacto más limitado en el usuario. En este escenario, un atacante puede comprometer el dispositivo intermedio y capturar los datos en bruto. El ataque también puede actuar como hombre-en-medio entre la red y el dispositivo físico para alterar los datos procedentes de Internet o la red.

La forma más sencilla de lograr esto es mediante la instalación de una copia troyanizada de la aplicación móvil utilizada por el proveedor de hardware. Hoy en día, hay un montón de maneras de instalar sin escrúpulos aplicaciones en los dispositivos móviles Android. La mayoría de los atacantes utilizan las tiendas de aplicaciones de terceras partes para hacer esto.

Este atacante pretende reunir un perfil más completo de la víctima con el fin de instalar el malware que más se ajuste a la víctima en particular. Por ejemplo, un ataque de malware puede empezar siendo pensado para ser usado en la aplicación de Google Glass y finalmente ser utilizado para determinar la ubicación actual del usuario en todo momento. El software malicioso descargará una nueva aplicación maliciosa que lleva a cabo el fraude mediante clics según la ubicación del usuario.
Otro ejemplo sería una aplicación que busca dispositivos portables ‘IN’ y los utiliza para determinar el nivel de salud del usuario (deportivo, etc). Esta información podría ser utilizada para hackear anuncios y cambiarlos a anuncios más “apropiados” para el usuario (es decir, gimnasios locales, bebidas de proteína o píldoras de dieta, en base a los datos de salud robados).

smart-wearables-2

 

2. Anuncios hackeados basados ​​en información procedente de portables

Otra posibilidad sería que el malware para detectar mensajes se mostrara en el usuario de Google Glass y reemplazara anuncios, spam u otro contenido arbitrario.
Los hackers también pueden obtener y utilizar la ubicación de la víctima para dirigirse a ella con anuncios o spam en función de su ubicación actual. Es interesante observar que los hackers pueden tener diferentes enfoques para obtener la ubicación del usuario. Si el hacker necesita datos históricos (localidades anteriores), una aplicación maliciosa puede intentar eludir el sistema de permisos del teléfono (cuando los datos de ubicación no están accesibles en todas las aplicaciones). Una forma más fácil de obtener los datos de localización es desde el dispositivo portátil. Sin embargo, el dispositivo no contiene el histórico de los datos; a menudo, sólo se realiza un seguimiento de la ubicación actual.
El atacante en estos escenarios sería alguien que saca dinero de las campañas de spam / publicidad y quizás el fraude de clics. Estos ataques se pueden hacer de forma masiva y sin ningún objetivo específico.
La siguiente entrada del blog abordará el tercer tipo de ataque y otro posible medio de ataque.
Para obtener más información acerca de elementos portables, puede revisar el artículo “Are you ready for Wearables?” Y la infografía, “The In and Outs of Wearable Devices”. Para obtener más información acerca de los dispositivos inteligentes, puede visitar nuestro Internet of Everything hub.

 

Encontrando agujeros en la Seguridad Bancaria: Operación Emmental

David Sancho (Senior Threat Researcher)

Al igual que el queso suizo Emmental, la forma en que sus cuentas bancarias on line están protegidas podría estar llena de agujeros. Los bancos han estado tratando de evitar que los delincuentes tengan acceso a sus cuentas en línea desde siempre. Contraseñas, PINs, tarjetas de coordenadas, TANs, tokens de sesión – todos fueron diseñados para ayudar a prevenir el fraude bancario. Recientemente hemos encontrado una operación criminal que tiene como objetivo derrotar a una de estas herramientas: tokens de sesión. Así es como lo consiguen.

Esta banda criminal intenta dar en el blanco de los bancos que utilizan los tokens de sesión enviados a través de SMS (es decir, mensajes de texto). Este es un método de autenticación de dos factores, que utiliza los teléfonos de los usuarios como canal secundario. Tratando de iniciar sesión en el site de un banco, el mismo banco debería enviar a los usuarios un SMS con un número. Los usuarios tienen que introducir ese número, junto con su usuario y contraseña habituales con el fin de realizar transacciones con la entidad bancaria. Por defecto, este es utilizado por algunos bancos en Austria, Suecia, Suiza, y otros países europeos.

Los cibercriminales spamean a los usuarios desde esos países con correos electrónicos spoofing que parecen venir de minoristas on line. Los propios usuarios hacen clic en un enlace malicioso o en un archivo adjunto e infectan sus ordenadores con malware. Hasta ahora, todo es bastante típico y desde una perspectiva de amenaza, un tanto aburrido.

Pero aquí es donde se pone interesante. Los equipos de los usuarios en realidad no se infectan, desde luego no con el malware bancario habitual. El malware sólo cambia la configuración de sus ordenadores y luego se elimina a sí mismo. ¿Qué te parece esto como infección indetectable? Los cambios son pequeños …. pero de grandes repercusiones.

Así es como funciona: la configuración de los DNS de los «ordenadores» de los usuarios se cambia para que apunte a un servidor externo controlado por ciberdelincuentes. El malware instala un certificado raíz SSL en sus sistemas para que los servidores HTTPS maliciosos confíen y no vean ninguna advertencia de seguridad.

1

Figura 1. ¿Qué sucede en el proceso de autenticación de 2 factores cuando el PC está infectado por la Operación Emmental?

Ahora, cuando los usuarios con ordenadores infectados intentan acceder a la página web del banco, se dirigen a un site malicioso que se parece al de su banco. Hasta ahora, esto es sólo un sofisticado ataque de phishing, pero estos criminales son mucho más retorcidos que eso. Una vez que los usuarios introducen sus credenciales, se les indica que instalen una aplicación en su smartphone.

Esta aplicación Android maliciosa está disfrazada de generador de tokens de sesión del banco. En realidad, interceptará mensajes SMS desde el banco y los remitirá a un servidor de comando y control (C & C) o a otro número de teléfono móvil. Esto significa que el ciberdelincuente no sólo obtiene las credenciales de banca online de las víctimas a través de la página web de phishing, sino también las sesiones de tokens necesarias para operaciones bancarias en línea. Los delincuentes terminan con un control total de las cuentas bancarias de las víctimas.

Es una gran operación de malware. Campañas de spam adaptadas al país, malware no persistente, servidores DNS maliciosos, páginas de phishing, malware para Android, servidores C & C y servidores back end. No se puede decir que estos criminales sean perezosos.

Los criminales detrás de esta operación en particular tienen como objetivo a los usuarios de Internet en Suiza, Austria y Suecia. En mayo, añadieron a los usuarios japoneses a su lista de potenciales víctimas. Hemos sido capaces de rastrear los operadores de vuelta mediante los apodos: – = FreeMan = – y Northwinds. Estos cibercriminales han estado activos desde 2011. En aquel entonces, expandían paquetes de malware como SpyEye y Hermes. En cuanto a los binarios que se desplegaron recientemente, creemos que los criminanles hacen uso de al menos dos servicios de cifrado diferentes. Uno de estos servicios está dirigido por una persona de Uzbekistán. No hemos sido capaces de identificar el otro.   

Puedes encontrar más información sobre este ataque en nuestro informe Finding Holes: Operation Emmental, que habla de esta técnica en profundidad. SWITCH.CH, el CERT de Universidades en Suiza, también realizó investigaciones sobre Emmental  y publicó sus conclusiones en su site.

Estar seguro en el nunca antes mejor conectado Mundial de Fútbol

por Ryan Certeza

Los eventos deportivos están cada vez más conectados, y el Mundial de Brasil que acaba de concluir no podía ser una excepción. El proveedor brasileño de telecomunicaciones Oi asegura que no se han escatimado gastos en “conectar” en la Copa del Mundo, e incluso ha asegurado que el evento del año es, de hecho, de los más conectados en la historia del Mundial de Fútbol.

Sigue leyendo

Los sitios de phishing se intensifican según se acerca el Mundial

Por TrendMicro

Con el Mundial de 2014 de Brasil tan cerca, no extraña que los sitios de phishing hayan intensificado sus campañas de spam dirigidas a los brasileños.

Algunos de estos funcionamientos spam son bastante básicos. Este, por ejemplo, intenta atraer a los usuarios con un sorteo con un premio de 5 millones de reales brasileños (algo menos de 2,2 millones de dólares).

1

1. Mensaje de phishing de lotería

Sigue leyendo