Skimmer de cartão de crédito foge da detecção de máquinas virtuais

Skimmer de cartão de crédito foge da detecção de máquinas virtuais para evitar que as técnicas de detecção de malware os identifiquem.

Existem muitas técnicas que os agentes de ameaças usam para desacelerar a análise ou, ainda melhor, evitar a detecção. Talvez o método mais popular seja detectar máquinas virtuais comumente usadas por pesquisadores de segurança e soluções de área restrita.

Os engenheiros reversos estão acostumados a encontrar trechos de código que verificam certas chaves de registro, procurando por valores específicos que indicam a presença de VMware ou Virtual Box, duas das peças mais populares de software de virtualização. Muitas famílias de malware incorporam esses recursos antivm, geralmente como uma primeira camada.

Para ameaças da web, é mais raro ver a detecção de máquinas virtuais por meio do navegador. Normalmente, os atores de ameaças se contentam com filtros de alvos baseados em geolocalização e strings de agente de usuário. Mas esse recurso existe em navegadores modernos e pode ser bastante eficaz.

Nesta postagem, a malwarebytes mostra como um agente de ameaça Magecart distribuindo um skimmer digital está evitando pesquisadores e possivelmente sandboxes, garantindo que os usuários estejam executando computadores genuínos e não virtuais.

Detecção de máquina virtual

A investigação começou examinando um domínio recentemente relatado que poderia estar relacionado ao Magecart, onde um JavaScript suspeito está sendo carregado junto com uma imagem de métodos de pagamento. Observe que navegar diretamente para a URL retornará uma biblioteca Angular .

Há uma função interessante dentro desse script skimmer que usa a API WebGL JavaScript para reunir informações sobre a máquina do usuário. Podemos ver que ele identifica o renderizador gráfico e retorna seu nome.

Para muitas máquinas virtuais, o driver da placa gráfica será um renderizador de software substituto do renderizador de hardware (GPU). Como alternativa, ele pode ser suportado pelo software de virtualização, mas ainda assim vazar seu nome.

Os pesquisadores notaram que o skimmer está verificando a presença das palavras swiftshader , llvmpipe e virtualbox . O Google Chrome usa o SwiftShader, enquanto o Firefox depende do llvmpipe como substituto do renderizador.

Ao realizar essa verificação no navegador, o agente da ameaça pode excluir pesquisadores e caixas de proteção e apenas permitir que vítimas reais sejam alvo do skimmer.

Exfiltração de dados

Se a máquina for aprovada na verificação, o processo de exfiltração de dados pessoais pode ocorrer normalmente. O skimmer raspa uma série de campos, incluindo o nome do cliente, endereço, e-mail e número de telefone, bem como os dados do cartão de crédito.

Ele também coleta qualquer senha (muitas lojas online permitem que os clientes registrem uma conta), o agente do usuário do navegador e um ID de usuário exclusivo. Os dados são então codificados e exfiltrados para o mesmo host por meio de uma única solicitação POST:

Evasão e defensores

Não é surpreendente ver essas técnicas de evasão sendo adotadas por criminosos; no entanto, mostra que, à medida que melhoramos a detecção e o relato de ataques, os agentes de ameaças também desenvolvem seus códigos. Esta é uma compensação natural que devemos esperar.

Além de ofuscação de código, truques anti-depurador e agora verificações antivm, os defensores terão que gastar mais tempo para identificar e se proteger contra esses ataques ou pelo menos apresentar contra-medidas eficazes.

Indicadores de compromisso (IOCs)

• Código skimmer
• Código do skimmer embelezado

cdn [.] megalixe [.] org
con [.] velocidade digital [.] net
apis [.] murdoog [.] org
static[.]opendwin[.]com
css[.]tevidon[.]com
mantisadnetwork [.] org
static [.] mantisadnetwork [.] org
stage[.]sleefnote[.]com
js [.] speed-metrics [.] com
troadster[.]com
nypi [.] dc-Storm [.] org
web [.] webflows [.] net
js[.]librarysetr[.]com
librarysetr[.]com
opendwin[.]com
app[.]rolfinder[.]com
libsconnect [.] net
artesfut[.]com
js[.]artesfut[.]com
js [.] rawgit [.] net
js [.] demo-metrics [.] net
demo-metrics [.] net
dev [.] crisconnect [.] net
m[.]brands-watch[.]com
gráfico [.] nuvem-gráfico [.] líquido
thing-data [.] org
estágio [.] libsconnect [.] net
app[.]iofrontcloud[.]com
iofrontcloud[.]com
alligaturetrack[.]com
webflows [.] net
web [.] webflows [.] net
tag[.]listrakbi[.]biz
api [.] abtasty [.] net
cloud-chart [.] net
gráfico [.] nuvem-gráfico [.] líquido
cdn [.] getambassador [.] net
climpstatic[.]com
stst[.]climpstatic[.]com
marklibs[.]com
st [.] adsrvr [.] biz
cdn [.] cookieslaw [.] org
clickcease [.] biz
89.108.127[.]254
89.108.127[.]16
82.202.161[.]77
89.108.116[.]123
82.202.160[.]9
89.108.116[.]48
89.108.123[.]28
89.108.109[.]167
89.108.110[.]208
50.63.202[.]56
212.109.222[.]225
82.202.160[.]8
82.202.160[.]137
192.64.119[.]156
89.108.109[.]169
82.202.160[.]10
82.202.160[.]54
82.146.50[.]89
82.202.160[.]123
82.202.160[.]119
194.67.71[.]75
77.246.157[.]133
82.146.51[.]242
89.108.127[.]57
82.202.160[.]8
185.63.188[.]84
89.108.123[.]168
77.246.157[.]133
185.63.188[.]85
82.146.51[.]202
185.63.188[.]59
89.108.123[.]169
185.63.188[.]71
89.108.127[.]16
82.202.161[.]77

Fonte: Threat Intelligence Team por Jérôme Segura

Veja também:

• Os golpes da Black Friday estão chegando
• Black Friday e a proliferação de sites falsos de comércio eletrônico
• Seu próximo carro pode se recusar a dar partida se achar que você bebeu
• Oito dicas para uma Black Friday segura
• O que é gerenciamento de API?
• Zero-days sob ataque: Microsoft Exchange Server e Excel
• O que um gateway de API faz?
• O que é Segurança de API
• MPEs estão na mira dos cibercriminosos nos ataques de dupla extorsão
• Ataques API são subdetectados e subnotificados
• Ignore a segurança da API por sua conta e risco
• Compreendendo os fundamentos da segurança de API