Hackers utilizan el malware Framework-Pos en ataques POS

Expertos en seguridad en Morfisec observó una ola de ataques contra clientes delgados en el punto de venta (PoS) que usaban malware de raspado de datos de tarjetas y la baliza de ataque de cobalto.

Durante las últimas 8-10 semanas, los expertos en seguridad de Morfisec Observó múltiples ataques sofisticados dirigidos a clientes ligeros de PoS en todo el mundo.

La mayoría de los indicadores recopilados por los expertos apuntan al grupo de pirateo FIN6, incluso si algunos de ellos también están vinculados a la EmpireMonkey grupo.

Los actores de amenazas utilizaron el malware de raspado de FrameworkPOS para filtrar los datos de la tarjeta de pago, también usaron las etapas de PowerShell / WMI para descargar y cargar Cobalt Strike con las extensiones de PowerShell directamente en la memoria.

"Sobre la base de los indicadores iniciales, identificamos el malware raspado FrameworkPOS instalado en algunos de los clientes ligeros, después de inicializar las etapas de PowerShell / WMI que descargaron y cargaron de manera reflectante la baliza Cobalt-Strike con la extensión de PowerShell directamente en la memoria". Lee el análisis publicado por Morphisec.

“Encontramos muchos indicadores vinculados específicamente al grupo FIN6 (WMI / PowerShell, FrameworkPOS, movimiento lateral y escalada de privilegios), con la diferencia de pasar de Metasploit a Cobalt-Strike). Algunos indicadores también están vinculados al grupo EmpireMonkey. En este momento, no tenemos suficientes datos para la atribución adecuada ".

Algunos de los ataques apuntaron expresamente a los clientes ligeros de PoS VMware Horizon.

Una vez infectado un sistema, los atacantes aprovechan la carga útil de la baliza Cobalt Strike para controlar el sistema y realizar movimientos laterales. El malware se usó para cosechar las credenciales de los usuarios, ejecutar código y evadir las técnicas avanzadas de escaneo EDR.

Los piratas informáticos pertenecen a las industrias de finanzas, seguros y salud, las víctimas de los ataques fueron identificadas en los Estados Unidos, Japón y la India.

Los expertos todavía están investigando el vector de ataque, en el momento de escribir esto, descubrieron que algunos ataques involucraban archivos HTA (aplicación HTML) que ejecutaban scripts de PowerShell como parte de un VBScript integrado. Morfisec También se identificaron otros scripts que conducen a la misma baliza de ataque de cobalto.

"Morfisec Observado 2 tipos de balizas durante esta campaña, la primera es una baliza de Cobalt Strike DLL cargada de reflexión directa regular, generalmente codificada en XOR. ”continúa el análisis.

"El segundo tipo es una baliza de puerta trasera de código de shell con funcionalidad PowerShell y Mimikatz".

Los expertos destacaron el nivel de sofisticación de estos ataques que aprovechan el malware sin archivos para evadir la detección; desafortunadamente, estas técnicas son adoptadas por varios actores de amenazas que dificultan la atribución de los ataques.

"Estos tipos de ataques avanzados que utilizan la memoria para evadir las soluciones de detección, ya sea cargando bibliotecas de manera reflexiva, vaciando la memoria del proceso o inyectando código en los nuevos procesos, son cada vez más difíciles de atribuir debido al simple hecho de que cada vez más delincuentes se aprovechan de la "La fuerza de estas técnicas de evasión y la debilidad de las tecnologías de detección en tiempo de ejecución para hacer frente a tal evasión", concluye Morphisec.

Fuente: securityaffairs

Mas Paginas que te pueden interesar

Canonical lanza Ubuntu 16.04.6 LTS con APT parcheado

Jugadores chinos de Overwatch son baneados por escribir Winnie the Pooh en el chat

Ataques de malware dirigidos contra servidores de Elasticsearch

Microsoft planea mejoras para Windows 10 20H1

La cumbre de Hanoi refleja las deficiencias de la diplomacia personalizada de Trump

Apex Legends trucos y secretos

Jugadores de Fortnite fracasan con el nuevo Pirate Cannon

Nvidia GTX 1660 y GTX 1650 se lanzan en marzo y abril

Estados Unidos prohibe las baterias de litio en las bodegas del avion

Apple Watch registra la mitad de todas las ventas de relojes inteligentes en 2018

Mueva la Papelera de reciclaje a la bandeja del sistema de Windows 10

Operador de servicio DDoS-as-a lanzo 1.3 millones de ataques DDoS

Fortnite comienza la temporada 8 con una explosion

El director de Kingdom Hearts 3 confirma que el DLC está en camino

PUBG con vestimenta gratuita Horizon Zero Dawn de tiempo limitado en PS4

El CEO de Avalanche Studios Christofer Sundberg abandona la empresa

Es posible que desee evitar que Apex Legends comparta sus datos con EA

Como cambiar la password de cifrado de copia de seguridad en Azure

Tema de ski Paradise para Windows 10

Las zapatillas Apex Legends del artista GFX se vuelven virales

Mozilla Firefox 67 incluira una nueva caracteristica para reducir el uso de memoria