This is your chance to be an Avast beta tester! Avast customers who have Android smartphones and tablets have played a significant role in the development of our mobile products. Now you can be part of the team by participating in our new beta version of Avast Mobile Security! Why you should be an Avast […]
If your home router is hacked, you have a serious situation on your hands. When an Avast Home Network Security scan finds that your router is already compromised, this notification will appear. This means that the router has been hacked and the DNS settings have been modified to serve hacked contents to a cyberthief. This […]
The Avast Mobile Security team showcased secure solutions for payment, identification and mobility at the CARTES conference. The Avast Mobile team had a couple of busy days in November – we participated at CARTES Secure Connexions 2014 and showcased some of our best mobile apps in the “Mobile payments” pavilion. In our traditional and authentic […]
summary
As Americans gear up for another holiday shopping season, the threat posed by point-of-sale malware remains high. More than a year after the discovery of the first major attacks against POS networks, many US retailers are still vulnerable to this type of attack and are likely to remain so until the complete transition to more secure payment card technologies in 2015.
While some retailers have enhanced security by implementing encryption on their POS terminals, others have not and retailers will continue to be a low-hanging fruit for some time. While the introduction of new technologies will help stem the flow of attacks, it will not eliminate fraud completely and attackers have a track record of adapting their methods.
Point-of-sale malware is now one of the biggest sources of stolen payment cards for cybercriminals. Although it hit the headlines over the past year, the POS malware threat has been slowly germinating since 2005 and the retail industry missed several warning signals in the intervening period. This allowed attackers to hone their methods and paved the way for the mega-breaches of 2013 and 2014, which compromised approximately 100 million payment cards and potentially affected up to one-in-three people in the US.
Attacks have reached epidemic proportions in part because POS malware kits are now widely available, which means attackers can target retailers without having to develop their tools from scratch. For example, BlackPOS (detected by Symantec as Infostealer.Reedum), which was used in the some of the most high profile attacks, has been for sale since February 2013 with a price tag of US$2,000. This is a relatively small investment for attackers, who are likely to net millions from a successful operation.
Figure 1. Point-of-sale attacks exploded once malware kits became widely available on the cyberunderground
Hopelessly exposed
Attacks on point-of-sale terminals had their genesis as far back as 2005, when attackers began using networking-sniffing malware to intercept payment card data while in transit. A group of attackers led by Albert Gonzalez were the main perpetrators, stealing more than 90 million card records from retailers.
As payments processors and retailers tightened up their security, the attackers adapted and attention turned to the point-of-sale terminal. When a card is swiped, its details are briefly stored in the terminal’s memory while being transmitted to the payment processor. This provides a brief window for malware on the terminal to copy the card data, which it then transmits back to the attackers. The technique is known as “memory scraping”.
POS malware was first discovered October 2008, when Visa issued an alert on a new type of exploit. During a fraud investigation, it found that attackers had been installing debugging software on POS systems that was capable of extracting full magnetic stripe data from its memory. Little heed appears to have been taken of this warning, giving malware developers time to perfect their methods. In the intervening period, developers have worked to streamline the malware, integrating all functionality into a single piece of software.
This development process eventually led to fully featured POS malware kits emerging on underground markets from 2012 onwards. US retailers were hopelessly exposed and what followed was a flood of high profile breaches, with several major US retailers hit by POS malware attacks.
Spotlight: BlackPOS
One of the most widely used forms of POS malware is BlackPOS which is also known as KAPTOXA, Memory Monitor, Dump Memory Grabber, and Reedum. Variants of BlackPOS have been used to mount some of the biggest retail POS breaches.
Its development mirrors the evolution of the broader POS malware market. The earliest versions of BlackPOS date from 2010. Over time, it has evolved into a highly capable cybercrime tool which employs encryption to cover its tracks and can be customized to suit the target environment.
By February 2013, BlackPOS was ready for the mass market and the group behind one of its variants began selling it on underground forums, charging customers $2,000 for the package.
Thriving marketplace
While the malware used to mount POS attacks is usually sold on underground forums, these forums are also often where the bounty of those attacks returns to be sold. For example, stolen credit card details from some of the biggest US breaches were sold on a forum known as Rescator.
New research from Symantec found that prices can vary heavily depending on a number of factors, such as the type of card and its level, i.e. gold, platinum or business. Card data originating from the US tends to be cheaper because of the widespread availability stolen US cards. Card details along with extra information, known as “Fullz”, tend to attract higher prices because details such as someone’s date of birth or credit card security password make it easier to perform fraudulent transactions or other activities.
Single credit cards from the US tend to cost $1.50 to $5, with discounts often available for those who buy in bulk. Single cards from the EU tend to cost more, selling for $5 to $8. Fullz start at $5 and can range up to $20. A single embossed plastic card with custom number and name meanwhile will sell for approximately $70. The stolen cards uploaded to Rescator were initially selling at a cost of $45 to $130 per card before prices later settled down.
Will new technologies render POS malware obsolete?
New payment card technologies, many of which are already in use in Europe, have been promoted as effective countermeasures for POS malware but are not a silver bullet. Their arrival is likely to herald the end of the large-scale POS breaches seen in recent years, but they will not eradicate theft of credit card data completely.
The adoption of EMV, chip-and-pin cards to replace traditional magnetic stripe cards ought to render the current generation of memory-scraping POS malware ineffective. However, chip-and-pin cards are still susceptible to skimming attacks and stolen credit card numbers can still be used in “card-not-present” transactions, such as online purchases.
Additionally, stolen credit card information in Europe is often used in the US since it doesn’t have chip and pin as a verification method. Going by this precedent, the advent of chip and pin in the US may mean attackers will continue to attempt to steal card information but use it in other countries that don’t use the chip-and-pin standard.
The chip-and-pin standard itself may be superseded at some point by the adoption of NFC mobile payment solutions such as Apple Pay, Google Wallet or CurrentC. With these payment technologies, the credit card number isn’t transmitted during the transaction. NFC is still susceptible to exploitation by attackers, but most attacks require physical proximity, making large-scale thefts almost impossible.
Advice for consumers
Some retailers are rolling out encryption on their point-of-sale networks to prevent memory scanning, which is encouraging. However, attackers have a tendency to adapt and evolve, and will no doubt look to circumvent these additional countermeasures.
There are several steps you can take to remain vigilant against this type of fraud:
Advice for businesses
Symantec has a number of solutions for retailers who wish to guard their point-of-sale systems from attack. For more details, please read: Secure Your Point-of-Sale System
Symantec protection
Symantec products detect all of the currently known variants of point-of-sale malware, including:
BlackPOS
FrameworkPOS
Dexter
Chewbacca
JackPOS
RawPOS
Vskimmer
Backoff
Further information
For more information about attacks against POS systems, please read our whitepaper entitled: Attacks on point of sales systems
New offering protects networks against malware and targeted attacks
The average US family owns four mobile devices, plus Internet-connected computers and other devices. Your Avast Account helps you manage their security. Keeping your security software up-to-date on all of these devices can quickly get confusing, and with today’s risks you want to make sure everything has adequate protection. Your Avast Account can simplify that […]
Versions dating back to Windows ’95 susceptible
Each year, as world leaders come together to discuss a variety of global economic issues at the G20 summit, organizations with a vested interest in the event are the recipients of malicious emails from threat actors.
This year, the summit will be held in Brisbane, Australia on November 15 and 16 and a specific attack group, which we call Flea, has been circulating malicious emails throughout 2014 in anticipation of the event. Targets include an international economic organization as well as a group connected to multiple monetary authorities. Once the attackers have compromised their target’s computers, they identify and steal valuable information from them.
Who is the Flea attack group?
The Flea attackers have been active since at least 2010 when they sent a decoy document to target those interested in the G20 Summit held in Seoul, South Korea that year. They have typically targeted European governments, global military organizations, and financial institutions. Flea uses one particular attack tool, detected as Infostealer.Hoardy, which can open a back door, run shell commands, and upload and download files on the compromised computer.
The attackers’ primary motivation is to steal information from targeted officials. They typically send spear-phishing emails with malicious attachments to compromise their intended victims’ computers. The content of these messages usually centers on an international event or theme that is of interest to their targets, such as nuclear issues, the Olympics, and major political conferences. They may also disguise these emails as job applications and send them to HR departments of targeted firms. Once the malware infects their target’s computers, the threat gives the attackers the ability to carry out reconnaissance on the compromised computers and identify and exfiltrate valuable information.
The Flea attack group carries out new attacks every four to eight months, suggesting that the group only wishes to steal information over a short amount of time. Flea’s attack tools also indicate that the group is not interested in laterally moving across compromised networks to reach other targets.
Figure 1. Flea attacks since 2010
Current G20 summit campaign
The Flea group has been circulating two G20-themed emails in the run-up to this weekend’s summit. The subject of one of these emails posits, “What exactly is the point of the G20 in Australia?” The email includes a malicious Word document that attempts to exploit the Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158) on vulnerable computers.
Another email relates to a G20 document that is of interest to financial institutions. Following each meeting between finance ministers and central bank governors, a communiqué is released which includes G20 policy discussions and commitments. The Flea attackers know about these documents and have been circulating emails with the subject “Communiqué Meeting of G20 Finance Ministers and Central Bank” along with a malicious Word document similar to the one previously discussed.
In each of these examples, the malicious Word documents have been used to deploy Infostealer.Hoardy. A non-malicious Word document is also opened up on the compromised computer to ensure that the recipient doesn’t suspect that anything is amiss.
Figure 2. Non-malicious Word document
The attackers have sent these emails to multiple targets, including an international economic organization and a group connected to multiple monetary authorities. These targets have an interest in what is discussed at the G20 summit and some may have delegations attending the event. It gives the attackers a major opportunity to steal valuable data from their targets by enticing them with G20-themed communications.
Future G20-themed attacks
The Flea attack group isn’t the only threat to worry about during G20 summits. Threat actors have always found the G20 summit an opportune time to target individuals within governments and financial and economic development organizations. Prior to last year’s summit in Saint Petersburg, Russia, we observed a campaign using the Poison Ivy remote access Trojan (RAT) to target multiple groups. These targeted organizations should expect more of the same during future G20 summits. Different threat actors will no doubt continue to use organizations’ interests in the G20 summit to target them again in the coming years.
Protection
Symantec recommends that users exercise caution when opening emails and attachments from unexpected or unknown senders. Symantec detects the malware used in these latest G20-themed attacks as Infostealer.Hoardy.
Indicators of compromise
MD5s:
Command-and-control servers:
It’s difficult to accept that we made an unwise purchase or even that a piece of technology has gone obsolete. But when it comes to the security of your home network, it’s time to face up to it. Last February, Craig Young, a researcher at security firm Tripwire, published research showing that 80% of the […]
Com uma ampla variedade de incidentes de segurança em 2014 – de violações de dados em larga escala a vulnerabilidades na própria base da rede – é difícil saber o que é prioridade. Quais acontecimentos foram apenas interessantes e quais se referem a tendências na área de segurança online? Que ameaças são resquícios do passado e quais são indicação do que virá no futuro?
Abaixo estão os quatro acontecimentos mais importantes da área de segurança online do último ano, o que aprendemos (ou deveríamos ter aprendido) com eles, e que alerta eles enviam para o ano que vem.
A descoberta das vulnerabilidades Heartbleed e ShellShockBash Bug
No primeiro semestre de 2014, a vulnerabilidade Heartbleed foi descoberta. Ela é uma vulnerabilidade séria em OpenSSL, uma das implementações dos protocolos SSL e TLS mais utilizada em sites. O Heartbleed permite que os atacantes roubem informações sensíveis como dados pessoais, de login, ou mesmo chaves de criptografia que podem levar à decodificação de comunicações protegidas.
Além disso, alguns meses depois foi encontrada uma vulnerabilidade em Bash, um componente comum também conhecido como shell, que está incluído na maioria das versões dos sistemas operacionais Linux e Unix, além do Mac OS X (também baseado em Unix). Conhecida como ShellShock (ou Bash Bug), ela permite que um cibercriminoso não apenas roube dados de um computador comprometido, mas também ganhe controle sobre o aparelho em si, potencialmente obtendo acesso a outros dispositivos na rede.
As ameaças Heartbleed e ShellShock levaram a atenção à segurança de softwares de código aberto e em como elas estão no centro de tantos sistemas dos quais dependemos para e-commerce. No caso de vulnerabilidades de software proprietário, precisamos apenas contar com um único fornecedor que entregue um patch.
No entanto, quando se trata de software de código aberto, o software pode estar integrado a uma série de aplicações e sistemas, o que significa que o administrador depende de uma variedade de fornecedores para que entreguem patches. Com o ShellShock e Heartbleed, houve muita confusão quanto à disponibilidade e eficácia dos patches e esperamos que isso sirva como um toque de despertar sobre o quanto precisamos de respostas coordenadas maiores às vulnerabilidades de código aberto, semelhante ao programa MAPP.
Ou seja, daqui em diante novas ameaças como essas continuarão a ser descobertas em programas de código aberto. Ainda que seja uma área nova e potencialmente rica para atacantes, o maior risco continua a vir de vulnerabilidades conhecidas, onde os patches adequados não são aplicados. De acordo com o Relatório sobre Ameaças à Segurança na Internet deste ano, 77% dos sites legítimos tinham vulnerabilidades exploráveis. Portanto, em 2015 veremos cibercriminosos utilizarem o Heartbleed ou ShellShock, mas há centenas de outras vulnerabilidades sem patches que os hackers continuarão a explorar impunemente.
Ciberespionagem coordenada e cibersabotagem em potencial: Dragonfly e Turla
O grupo Dragonfly, que parece estar em operação desde pelo menos 2011, inicialmente visou empresas de defesa e aviação nos EUA e Canadá, antes de mudar seu foco principalmente para empresas de energia no começo de 2013. Capaz de lançar ofensivas através de diversos vetores diferentes, sua campanha de ataque mais ambiciosa comprometeu diversos provedores de equipamentos de sistemas de controle industriais (ICS), infectando softwares com um Trojan de acesso remoto.
Tal ação deu aos atacantes acesso total aos sistemas onde o software estivesse instalado, o que permitia se infiltrar nas organizações alvo para desempenhar atividades de ciberespionagem. Muitos destes sistemas estavam rodando programas ICS utilizados para controlar infraestruturas críticas como oleodutos e redes de energia, porém não houve registro de cibersabotagem nestes ataques. Sem dúvida os criminosos tinham essa capacidade e poderiam ter lançado ataques rapidamente, mas talvez tenham optado por aguardar, sendo interrompidos antes que pudessem avançar.
O Dragonfly também empregou campanhas dirigidas de spam por e-mail e ataques de watering hole para infectar organizações-alvo. De forma semelhante, o grupo por trás do malware Turla também usa uma estratégia de ataque em múltiplas frentes para infectar as vítimas através de e-mails de spearphishing e ataques de watering hole, que exibem capacidades de comprometimento extremamente dirigidas, onde os atacantes comprometem uma série de sites legítimos e entregam o malware apenas para vítimas que acessem a partir de faixas de endereço de IP previamente selecionadas. Eles também deixavam suas ferramentas mais sofisticadas de vigilância para alvos de alto valor. Porém, a motivação do Turla é diferente da do Dragonfly. Os cibercriminosos do Turla estão executando vigilância de longo prazo contra embaixadas e departamentos governamentais, uma forma muito tradicional de espionagem.
Tanto as campanhas do Dragonfly como do Turla carregam a marca de operações patrocinadas por Estados, apresentando um alto nível de capacidade técnica e de recursos. São capazes de montar ataques através de vetores múltiplos e comprometeram diversos sites de terceiros. Seu propósito aparente seria de ciberespionagem – e sabotagem como uma capacidade secundária no caso do Dragonfly.
Estas campanhas são apenas exemplos das inúmeras campanhas de espionagem que encontramos quase diariamente. Este é um problema global e não há sinais de trégua, com ataques como o Sandworm alavancando uma série de vulnerabilidades de dia zero. Considerando-se a evidência de profundos recursos técnicos e financeiros, estes ataques são, muito provavelmente, patrocinados por Estados.
Cartões de crédito no alvo
O lucrativo negócio de venda no mercado negro de dados de cartões de crédito ou débito roubados torna esse ramo um grande alvo para criminosos. Em 2014, ocorreram diversos ataques de destaque focados em sistemas point-of-sale (POS) para obter as informações do cartão de pagamento de consumidores. Um fator que torna os Estados Unidos o maior alvo é a incapacidade de adotar o sistema chip-e-PIN, conhecido como EMV (Europay, MasterCard e VISA), que oferece mais segurança que os cartões com faixa magnética. Os ataques utilizaram malwares que podem roubar informações da faixa magnética do cartão de pagamento enquanto ela é lida pelo computador e antes que seja criptografada. As informações roubadas podem então ser utilizadas para clonar o objeto. Como as informações de transações com EMV são criptografadas de modo único a cada vez, é mais difícil para os criminosos captar partes úteis de dados de pagamento e usá-las novamente para outra compra. No entanto, essa tecnologia é igualmente suscetível ao uso em compras online fraudulentas.
O Apple Pay, que basicamente transforma seu celular em uma “carteira virtual” através da tecnologia near-field communication (NFC), também foi lançado em 2014. O NFC é um tipo de comunicação que envolve a transmissão sem fio de dados, de um dispositivo de hardware para outro objeto físico que esteja próximo, neste caso, a caixa registradora.
Os sistemas de pagamento de NFC já existem há algum tempo, mas esperamos ver um aumento na adoção dessa tecnologia por consumidores no próximo ano, já que mais smartphones terão suporte a esse padrão. Vale notar que os sistemas NFC são mais seguros que faixas magnéticas, mas ainda existe a possibilidade de hackers explorarem o sistema, ainda que isso exija que os bandidos se direcionem a cartões individuais e não resulte em violação ou roubo de grande escala como vimos nos EUA. No entanto, a tecnologia de pagamento utilizada não protege contra varejistas que não armazenam dados de cartões de forma segura, eles ainda precisam ser cuidadosos na proteção dos dados armazenados.
Maior colaboração com agências de segurança
Agora, uma boa notícia: em 2014 tivemos muitos exemplos de agências internacionais de segurança adotando uma posição mais ativa e agressiva contra o cibercrime, colaborando cada vez mais com o setor de segurança online para derrubar cibercriminosos.
Blackshades é um Trojan de acesso remoto (RAT) popular e poderoso, utilizado por uma série de autores de ameaças, desde hackers iniciantes até grupos cibercriminosos sofisticados. Em maio de 2014, o FBI, a Europol e diversas outras agências de segurança prenderam dezenas de pessoas suspeitas de atividades centradas no uso de Blackshades (também conhecido como W32.Shadesrat). A Symantec trabalhou junto ao FBI neste esforço coordenado de combate, fornecendo informações que permitiram que a agência localizasse pessoas suspeitas de envolvimento.
Apenas um mês depois, o FBI, o National Crime Agency do Reino Unido, e diversas outras agências internacionais de segurança, trabalhando ao lado da Symantec e outras empresas do setor privado, interromperam significativamente duas das mais perigosas operações de fraude financeira do mundo: o botnet Gameover Zeus e a rede Cryptolocker ransomware. Com isso, o FBI apreendeu uma grande infraestrutura usada pelas duas ameaças.
Apesar de estes golpes serem parte de um esforço contínuo, não veremos o desaparecimento do cibercrime de forma rápida. Tanto o setor privado como as agências de segurança precisam continuar a colaborar para ter um impacto duradouro. Conforme a taxa e sofisticação de ciberataques aumentam, esperamos uma continuidade dessa tendência de colaboração para localizar os atacantes e interromper sua ação.
Então, aí está, minha visão sobre os quatro acontecimentos mais importantes na segurança online em 2014. Claro, ainda temos algumas semanas antes da chegada de 2015, então podemos ver o surgimento de outros eventos, mas você pode confiar que a Symantec está aqui e cuidaremos de você, independentemente do que o futuro possa trazer!