Malware Intelligence

Análise de malware e engenharia reversa: analisando o Magecart Skimmer

December 16, 2020

min

Tabela de conteúdo

Exemplo H2

Os ataques que envolvem malware são uma das ameaças mais comuns na Internet. O malware é um código malicioso que se infiltra em um computador e interrompe as operações. Os atacantes desenvolvem software malicioso e os adaptam para atender a propósitos específicos, como registro de chaves, sequestro, phishing etc., enquanto atacam empresas ou indivíduos em vários setores. A coleta de informações sobre as propriedades e características desse malware pode ajudar a mitigar as ameaças à segurança das organizações e melhorar sua postura de segurança.

MA&RE: O cavalo de corrida da inteligência de ameaças

A análise de malware e engenharia reversa (MA&RE) permite que os respondentes a incidentes extraiam inteligência de ameaças de amostras de malware para obter informações sobre o malware e o grupo de ameaças responsável. O MA&RE nos ajudará a detectar, sob camadas de ofuscação criadas por atores para confundir os pesquisadores, a lógica por trás do malware, analisando o código de trabalho real escrito pelo próprio agente da ameaça.

A seguinte inteligência de ameaças pode ser obtida com a ajuda da MA&RE:

Indicadores de comprometimento (IOCs): URLs/domínios/C2-IP
Técnicas de evasão
Mecanismos de infecção
Uso de explorações/vulnerabilidades de dia zero
Movimento lateral e compromisso

Neste post, exploramos o processo de Análise de Malware e Engenharia Reversa (MA&RE) analisando o malware de escaneamento do Magecart.

A ascensão do Magecart

O Magecart é um grupo de hackers que visa ferramentas e sistemas de carrinhos de compras para roubar informações de pagamento dos clientes. Os carrinhos de compras são alvos fáceis de ataques fraudulentos, pois é bastante conveniente que os agentes de ameaças comprometam essas páginas de pagamento e roubem detalhes de pagamento (cartão) e outras informações confidenciais dos usuários.

Um web skimmer é um malware escrito em JavaScript que os invasores aproveitam ao injetá-lo em sites específicos para:

Comprometa o site ou o próprio servidor web por meio de:
- Tentativas de login por força bruta
- Ataques de phishing
- Engenharia social
- Explorando vulnerabilidades de software conhecidas
Realize ataques à cadeia de suprimentos e comprometa as ferramentas de terceiros que o site usa: Como as ferramentas de terceiros têm vários clientes, comprometer uma dessas ferramentas significaria que todos os sites que usam essa ferramenta podem ser comprometidos. Por exemplo, se um agente de ameaças comprometer uma plataforma de comércio eletrônico de terceiros como o Magento, os milhares de varejistas que fazem negócios com eles também estão expostos a um ataque.

Modus Operandi do Magecart

Os ataques de espionagem na web do lado do cliente são lançados pelas próprias vítimas inocentes. Depois que o invasor obtém acesso ao site e coloca o código de leitura do Magecart nele, o código procura uma página de checkout e adiciona ouvintes ao botão de envio do formulário de pagamento. Então, quando o cliente clica no botão Enviar para enviar os detalhes do cartão e outras informações para iniciar o pagamento, o código malicioso examina os dados inseridos e os envia diretamente para o servidor do invasor.

Os atacantes do Magecart usam diferentes formas e métodos para espalhar a infecção e impedir a detecção. Algumas das técnicas usadas para fazer isso são criptografar o conteúdo do código, como strings, usando o algoritmo Base64 e também ofuscando o código malicioso antes de publicá-lo.

Depois que os atacantes contornarem os sistemas de segurança e acessarem a página de pagamento com sucesso:

Eles então vendem os cartões roubados em mercados da dark web ou
Use os cartões comprometidos para realizar outros esquemas fraudulentos.

Dissecando um skimmer

Nesta seção, exploramos como analisar um malware skimmer com o malware Magecart como nossa amostra.

Primeiro, o código malicioso é injetado em um formulário de pagamento legítimo e, quando a página é carregada e o cliente inicia a interação, o código é ativado no lado do cliente. O código geralmente é ofuscado para evitar a detecção.

1. A primeira camada do padrão Magecart contém um conjunto de dataTokens que contém todas as cadeias de caracteres relacionadas à implementação do código. Em alguns casos, os dados serão codificados usando o algoritmo Base64.

Image1 - encoded dataTokens MA&RE — Imagem 1 — Tokens de dados codificados

O Magecart usa técnicas pesadas de ofuscação para ocultar o malware skimmer. Para fazer isso, os itens na matriz são deslocados 5 vezes, girando esses elementos para a direita. Esse processo também ativa o código malicioso.

Image2 - shifting function for the dataToken array — Image2 — Função de deslocamento para a matriz DataToken

2. Depois que a matriz é deslocada, o DataToken é descriptografado para obter os dados originais. O código usa a função dtoa () para modificar os dados decodificados pelo algoritmo Base64 para texto simples.

MA&RE Image3 - decoding function — Image3 — Função de decodificação

MA&RE Image4 - decoded dataTokens — Imagem 4 — Tokens de dados decodificados

Na Image4, podemos ver o DataToken decodificado.

3. A camada final do código malicioso do Magecart tem duas funções. Sua primeira função é pesquisar tags html que contenham valores de ID específicos ou valores de classe, nos quais os dados são inseridos. Uma das tags de destino são os “botões”, aos quais o código malicioso adiciona um ouvinte de eventos. E quando o cliente clica no botão, o ouvinte captura todos os detalhes do cartão inseridos na página. Imagem 5 descreve essa função.

MA&RE Image5 - Ready function — Image5 — Função Ready

A segunda função é responsável por despejar os detalhes do cartão de crédito, que geralmente incluem o número do cartão, CVV e nome e sobrenome do titular do cartão. A imagem 6 mostra a lista de informações que o código malicioso extrai ou ignora.

MA&RE Image6 - The list of data to be skimmed — Image6 — A lista de dados a serem analisados

Depois de extrair os dados, eles são salvos no armazenamento local e, em seguida, convertidos em string JSON e enviados ao atacante.

Image7 - encrypting the data section — Image7 — Criptografando a seção de dados

No entanto, antes de enviar os dados, eles são criptografados usando um algoritmo de criptografia assimétrica com uma chave pública codificada usando a função JSEncrypt (). Os dados criptografados são então enviados ao agente da ameaça.

Image8 - The public key that encrypt the data — Image8 — A chave pública que criptografa os dados

Neste exemplo do Magecart, o código é executado quando a página é carregada. Ele ativa primeiro o botão de destino, seguido pela função de despejo de dados.

Image9 - Sending data section — Image9 — Seção de envio de dados

Conclusão

Os agentes de ameaças têm maneiras diferentes de ocultar sua existência e ofuscar o código malicioso que usam em suas campanhas, tornando sua detecção quase impossível. Isso poderia permitir que os ataques à cadeia de suprimentos disparassem, visando milhares de plataformas de comércio eletrônico que assinam o mesmo terceiro. No campo da pesquisa de inteligência de ameaças, a Análise de Malware e Engenharia Reversa (MA&RE) permite que os pesquisadores analisem e registrem várias táticas sofisticadas empregadas por um malware, para formar inteligência acionável que pode ser usada para fortalecer empresas e indivíduos contra tais ofensivas.