Hackers utilizan el malware Framework-Pos en ataques POS
Expertos en seguridad en Morfisec observó una ola de ataques contra clientes delgados en el punto de venta (PoS) que usaban malware de raspado de datos de tarjetas y la baliza de ataque de cobalto.
Durante las últimas 8-10 semanas, los expertos en seguridad de Morfisec Observó múltiples ataques sofisticados dirigidos a clientes ligeros de PoS en todo el mundo.
La mayoría de los indicadores recopilados por los expertos apuntan al grupo de pirateo FIN6, incluso si algunos de ellos también están vinculados a la EmpireMonkey grupo.
Los actores de amenazas utilizaron el malware de raspado de FrameworkPOS para filtrar los datos de la tarjeta de pago, también usaron las etapas de PowerShell / WMI para descargar y cargar Cobalt Strike con las extensiones de PowerShell directamente en la memoria.
"Sobre la base de los indicadores iniciales, identificamos el malware raspado FrameworkPOS instalado en algunos de los clientes ligeros, después de inicializar las etapas de PowerShell / WMI que descargaron y cargaron de manera reflectante la baliza Cobalt-Strike con la extensión de PowerShell directamente en la memoria". Lee el análisis publicado por Morphisec.
“Encontramos muchos indicadores vinculados específicamente al grupo FIN6 (WMI / PowerShell, FrameworkPOS, movimiento lateral y escalada de privilegios), con la diferencia de pasar de Metasploit a Cobalt-Strike). Algunos indicadores también están vinculados al grupo EmpireMonkey. En este momento, no tenemos suficientes datos para la atribución adecuada ".
Algunos de los ataques apuntaron expresamente a los clientes ligeros de PoS VMware Horizon.
Una vez infectado un sistema, los atacantes aprovechan la carga útil de la baliza Cobalt Strike para controlar el sistema y realizar movimientos laterales. El malware se usó para cosechar las credenciales de los usuarios, ejecutar código y evadir las técnicas avanzadas de escaneo EDR.
Los piratas informáticos pertenecen a las industrias de finanzas, seguros y salud, las víctimas de los ataques fueron identificadas en los Estados Unidos, Japón y la India.
Los expertos todavía están investigando el vector de ataque, en el momento de escribir esto, descubrieron que algunos ataques involucraban archivos HTA (aplicación HTML) que ejecutaban scripts de PowerShell como parte de un VBScript integrado. Morfisec También se identificaron otros scripts que conducen a la misma baliza de ataque de cobalto.
"Morfisec Observado 2 tipos de balizas durante esta campaña, la primera es una baliza de Cobalt Strike DLL cargada de reflexión directa regular, generalmente codificada en XOR. ”continúa el análisis.
"El segundo tipo es una baliza de puerta trasera de código de shell con funcionalidad PowerShell y Mimikatz".
Los expertos destacaron el nivel de sofisticación de estos ataques que aprovechan el malware sin archivos para evadir la detección; desafortunadamente, estas técnicas son adoptadas por varios actores de amenazas que dificultan la atribución de los ataques.
"Estos tipos de ataques avanzados que utilizan la memoria para evadir las soluciones de detección, ya sea cargando bibliotecas de manera reflexiva, vaciando la memoria del proceso o inyectando código en los nuevos procesos, son cada vez más difíciles de atribuir debido al simple hecho de que cada vez más delincuentes se aprovechan de la "La fuerza de estas técnicas de evasión y la debilidad de las tecnologías de detección en tiempo de ejecución para hacer frente a tal evasión", concluye Morphisec.
Fuente: securityaffairs
Mas Paginas que te pueden interesar
Canonical lanza Ubuntu 16.04.6 LTS con APT parcheado
Jugadores chinos de Overwatch son baneados por escribir Winnie the Pooh en el chat
Ataques de malware dirigidos contra servidores de Elasticsearch
Microsoft planea mejoras para Windows 10 20H1
La cumbre de Hanoi refleja las deficiencias de la diplomacia personalizada de Trump
Apex Legends trucos y secretos
Jugadores de Fortnite fracasan con el nuevo Pirate Cannon
Nvidia GTX 1660 y GTX 1650 se lanzan en marzo y abril
Estados Unidos prohibe las baterias de litio en las bodegas del avion
Apple Watch registra la mitad de todas las ventas de relojes inteligentes en 2018
Mueva la Papelera de reciclaje a la bandeja del sistema de Windows 10
Operador de servicio DDoS-as-a lanzo 1.3 millones de ataques DDoS
Fortnite comienza la temporada 8 con una explosion
El director de Kingdom Hearts 3 confirma que el DLC está en camino
PUBG con vestimenta gratuita Horizon Zero Dawn de tiempo limitado en PS4
El CEO de Avalanche Studios Christofer Sundberg abandona la empresa
Es posible que desee evitar que Apex Legends comparta sus datos con EA
Como cambiar la password de cifrado de copia de seguridad en Azure
Tema de ski Paradise para Windows 10
Las zapatillas Apex Legends del artista GFX se vuelven virales
Mozilla Firefox 67 incluira una nueva caracteristica para reducir el uso de memoria