Drenaje del troyano Backoff POS

Actualmente hay todo un revuelo sobre el troyano Backoff diseñado para robar información de las tarjetas de crédito que se insertan en las terminales de lectura en puntos de venta (POS) conectadas a ordenadores.

Trustwave SpiderLab, los descubridores de este programa malicioso, publicaron un análisis muy detallado en julio. El Servicio Secreto de EE.UU., junto a DHS, publicó una advertencia.

Aunque bastante profundos, a los análisis publicados del troyano Backoff les falta un elemento relevante: los servidores de comando y control (C&C). Sin embargo, una vez que se tiene acceso a las muestras de este malware, no resulta difícil conseguir esta información. Al final de este documento se encuentra una lista completa con otros IOCs (indicadores de compromiso).

Configuración del troyano Backoff, con C&Cs

Hemos drenado dos servidores C&C que las muestras de Backoff utilizaban para comunicarse con sus dueños. Estos servidores C&C los usan algunas muestras que se obtuvieron entre enero y marzo de 2014. En los últimos días observamos más de 100 víctimas en varios países que se conectaban a nuestro drenaje.

Estadísticas:

Entre las víctimas sobresalen algunas interesantes:

• Una compañía mundial de transporte marítimo y logística asentada en Norteamérica.
• Una organización benéfica con asiento en Reino Unido que proporciona apoyo, asesoramiento e información a organizaciones voluntarias locales y grupos comunitarios.
• Una asociación de empresas de nómina en Norteamérica.
• Un instituto estatal relacionado con tecnología de la información y comunicación en Europa del este.
• Una cadena de licorerías en EE.UU.
• Un proveedor de servicios de Internet en Alabama, EE.UU.
• Una cadena mexicana de comida con asiento en EE.UU.
• Una compañía que posee y administra edificios de oficinas en California, EE.UU.
• Una compañía canadiense que posee y opera una gran cadena de restaurantes.

También aparecen muchas líneas de usuarios particulares, principalmente en EE.UU. y Canadá, conectadas al drenaje. Esto es previsible ya que muchas empresas pequeñas tienden a usar estas conexiones en lugar de las corporativas.

Conclusiones

El éxito del troyano Backoff expone un escenario dramático del estado de la seguridad en los puntos de venta. Nuestro drenaje cubre menos del 5% de los canales C&C y los dominios drenados sólo corresponden a algunas muestras de Backoff que se crearon en el primer trimestre de este año. Sin embargo, hemos detectado más de 85 víctimas conectadas a nuestro drenaje.

La mayoría de ellas se encuentra en Norteamérica, y algunas son organizaciones importantes. Tomando en cuenta la declaración del Servicio Secreto de EE.UU., no resulta aventurado afirmar que la cantidad de compañías norteamericanas infectadas con Backoff supera las 1.000.

Desde su aparición este año, Backoff no ha cambiado significativamente. Sus autores crearon muestras ofuscadas y no ofuscadas. Es probable que lo hicieran para burlar los controles de seguridad en las redes que atacaron. Sin embargo, las defensas en una terminal de lectura de tarjetas de un punto de venta (PoS) y/o en una red no deberían haber sido afectadas. Esto es suficiente para develar el estado actual de la seguridad en los puntos de venta, y seguro que otros ciberpiratas también lo han notado.

Queda claro que las redes de puntos de venta son blancos primarios de los ataques de programas maliciosos. Esto es particularmente cierto en EE.UU., que todavía no ha adoptado las tarjetas con chip EMV. A diferencia de las cintas magnéticas, los chips EMV en las tarjetas de crédito son difíciles de clonar, lo que las hace resistentes. Por desgracia, EE.UU. está adoptando el chip y la firma, en lugar del chip y el PIN. Esto definitivamente descarta la seguridad adicional que los chips EMV ofrecen.

Esto puede ser un error caro. No adoptar los chips EMV como lo está haciendo el resto del mundo está afectando a las tiendas minoristas en EE.UU. y esta situación no va a cambiar a corto plazo.

Indicadores de compromiso / servidores C&Cs:

Rutas de los archivos troyanos:

%APPDATA%AdobeFlashPlayermswinsvc.exe
%APPDATA%AdobeFlashPlayermswinhost.exe
%APPDATA%AdobeFlashPlayerLocal.dat
%APPDATA%AdobeFlashPlayerLog.txt
%APPDATA%mskrnl
%APPDATA%nsskrnl
%APPDATA%winserv.exe
%APPDATA%OracleJavajavaw.exe
%APPDATA%OracleJavajavaw.exe
%APPDATA%OracleJavaLocal.dat
%APPDATA%OracleJavaLog.txt

Nombres de Kaspersky para los troyanos:

HEUR:Trojan.Win32.Invader
HEUR:Trojan.Win32.Generic
Backdoor.Win32.Backoff
Trojan.Win32.Agent.ahhia
Trojan.Win32.Agent.agvmh
Trojan.Win32.Agent.aeyfj
Trojan-Spy.Win32.Recam.qq
Trojan-Dropper.Win32.Sysn.ajci
Trojan.Win32.Bublik.covz
Trojan-Dropper.Win32.Dapato.dddq
Trojan.Win32.Agent.agufs
Trojan.Win32.Agent.ahbhh
Trojan.Win32.Agent.agigp
Trojan.Win32.Agent.aeqsu
Trojan.Win32.Agent.ahgxs
Trojan.Win32.Inject.mhjl
Trojan.Win32.Agent.ahbhh
Trojan.Win32.Agent.ahhee
Trojan.Win32.Agent.ahgxs

MD5s:

684e03daaffa02ffecd6c7747ffa030e
3ff0f444ef4196f2a47a16eeec506e93
12c9c0bc18fdf98189457a9d112eebfc
14cca3ad6365cb50751638d35bdb84ec
d0f3bf7abbe65b91434905b6955203fe
38e8ed887e725339615b28e60f3271e4
7b027599ae15512256bb5bc52e58e811
5cdc9d5998635e2b91c0324465c6018f
821ac2580843cb0c0f4baff57db8962e
b08d4847c370f79af006d113b3d8f6cf
17e1173f6fc7e920405f8dbde8c9ecac
874cd0b7b22ae1521fd0a7d405d6fa12
ea0c354f61ba0d88a422721caefad394
6a0e49c5e332df3af78823ca4a655ae8
8a019351b0b145ee3abe097922f0d4f6
337058dca8e6cbcb0bc02a85c823a003
842e903b955e134ae281d09a467e420a
d1d544dbf6b3867d758a5e7e7c3554bf
01f0d20a1a32e535b950428f5b5d6e72
fc041bda43a3067a0836dca2e6093c25
4956cf9ddd905ac3258f9605cf85332b
f5b4786c28ccf43e569cb21a6122a97e
cc640ad87befba89b440edca9ae5d235
0b464c9bebd10f02575b9d9d3a771db3
d0c74483f20c608a0a89c5ba05c2197f
b1661862db623e05a2694c483dce6e91
ffe53fb9280bf3a8ceb366997488486e
c0d0b7ffaec38de642bf6ff6971f4f9e
05f2c7675ff5cda1bee6a168bdbecac0
9ee4c29c95ed435644e6273b1ae3da58
0607ce9793eea0a42819957528d92b02
97fa64dfaa27d4b236e4a76417ab51c1
82d811a8a76df0cda3f34fdcd0e26e27
0b7732129b46ed15ff73f72886946220
30c5592a133137a84f61898993e513db
aa68ecf6f097ffb01c981f09a21aef32
bbe534abcc0a907f3c18cfe207a5dfca
29e0259b4ea971c72fd7fcad54a0f8d0

Dominios y hostnames de los servidores C&C:

00000000000.888[.]ru
10000000000.888[.]ru
adobephotoshop11111[.]com
adobephotoshop22222[.]com
domain12827312[.]com
helloflashplayers12345[.]com
hellojavaplayers12345[.]com
ilovereservdom213ada2[.]ru
iownacarservice[.]ru
iownacarservice1[.]com
msframework1[.]com
msframework1[.]ru
msframeworkx64[.]com
msframeworkx86[.]com
msframeworkx86[.]ru
msoffice365net[.]com
nullllllllllll[.]com
ollygo030233[.]com
ollygo030233[.]ru
pop3smtp5imap2[.]com
pop3smtp5imap3[.]com
pop3smtp5imap4[.]ru
reservedomain12312[.]ru
total-updates[.]com

Direcciones IP de los servidores C&C:

146.185.233.32
81.4.111.176
95.211.228.249
217.174.105.86