El viernes pasado Cisco compartió detalles sobre lo que la empresa dice que es nueva raza de malware de Punto de Venta (PoS) que es más sofisticado y mucho mejor diseñado que las amenazas vistas previamente.
Apodado "Poseidon" por Cisco, el malware tiene cierta semejanza a ZeuS y utiliza mejores métodos para encontrar datos de la tarjeta que la familia de malware BlackPoS, según los informes utilizados en el ataque contra Target en 2013 y en contra de Home Depot en 2014.
Según Cisco, el software malicioso revisa toda la memoria buscando secuencias de números que coincidan específicamente con los formatos utilizados por Visa, MasterCard, American Express y Discover, y va tan lejos que utiliza el algoritmo Luhn para verificar que los números de tarjeta de crédito o débito de tarjetas son válidas.
"Poseidon fue escrito profesionalmente para ser rápido y evasivo con nuevas capacidades que no se ven en otros tipos de malware PoS", escribieron en un blog, los miembros del equipo de Soluciones de Seguridad de Cisco. "Poseidon puede comunicarse directamente con los servidores C&C para la auto-actualización y para ejecutar código nuevo, tiene mecanismos de auto-protección que vigilan contra la ingeniería inversa."
Algunos componentes de PoSeidon se ilustran en el siguiente diagrama creado por Cisco:
"En un nivel alto, se inicia con un cargador (Loader) binario que al ser ejecutado primero tratará de mantener la persistencia en la máquina de destino con el fin de sobrevivir a un posible reinicio del sistema", explicó el equipo de Cisco. "El cargador se pone en contacto con un servidor de comando y control, recuperando una URL que contiene otro binario para descargar y ejecutar. El binario descargado, findstr, instala un keylogger y escanea la memoria del dispositivo de punto de venta por secuencias de números que pueden ser de tarjetas de crédito. Tras verificar que si son números de tarjeta validos, las capturas de teclado y números de tarjetas de crédito son codificados y enviados a un servidor de exfiltración ".
El componente Keylogger fue potencialmente utilizado para robar contraseñas y podría haber sido el vector inicial de la infección, dijo Cisco.
Al ser ejecutado, el cargador (Loader) comprueba si se está ejecutando con uno de estos dos nombres de archivo: winhost.exe o WinHost32.exe.
Si no es así, el malware se asegurará de que no hay servicio de Windows se está ejecutando con el nombre WinHost. Cargador se copia en %SystemRoot%\System32\winhost.exe, sobrescribiendo cualquier archivo en esa ubicación que pudiera tener el mismo nombre. A continuación, cargador comenzará un servicio llamado WinHost.
Según Cisco, este método permite a la amenaza permanecer funcionando en la memoria incluso si el usuario actual cierra sesión. Si el cargador no es capaz de instalarse como un servicio, se intentará encontrar otras instancias de sí mismo que se ejecutan en la memoria y ponerles fin.
"Poseidon es otro en el creciente número de malware para Point-of-Sale dirigidos a los sistemas de puntos de venta que demuestran las técnicas y enfoques de los autores de malware sofisticado", señaló equipo de Seguridad de Soluciones Cisco. "Los atacantes continuarán apuntando a los sistemas de puntos de venta y el uso de varias técnicas de ofuscación en un intento de evitar la detección. Mientras los ataques de puntos de venta siguen proporcionando ganancias, los atacantes seguirán invirtiendo en innovación y desarrollo de nuevas familias de malware. Los administradores de red tendrán que permanecer vigilantes y adherirse a las mejores prácticas para garantizar la cobertura y la protección contra el avance de las amenazas de malware ".
Fuente: ThreatPost
Apodado "Poseidon" por Cisco, el malware tiene cierta semejanza a ZeuS y utiliza mejores métodos para encontrar datos de la tarjeta que la familia de malware BlackPoS, según los informes utilizados en el ataque contra Target en 2013 y en contra de Home Depot en 2014.
Según Cisco, el software malicioso revisa toda la memoria buscando secuencias de números que coincidan específicamente con los formatos utilizados por Visa, MasterCard, American Express y Discover, y va tan lejos que utiliza el algoritmo Luhn para verificar que los números de tarjeta de crédito o débito de tarjetas son válidas.
"Poseidon fue escrito profesionalmente para ser rápido y evasivo con nuevas capacidades que no se ven en otros tipos de malware PoS", escribieron en un blog, los miembros del equipo de Soluciones de Seguridad de Cisco. "Poseidon puede comunicarse directamente con los servidores C&C para la auto-actualización y para ejecutar código nuevo, tiene mecanismos de auto-protección que vigilan contra la ingeniería inversa."
Algunos componentes de PoSeidon se ilustran en el siguiente diagrama creado por Cisco:
"En un nivel alto, se inicia con un cargador (Loader) binario que al ser ejecutado primero tratará de mantener la persistencia en la máquina de destino con el fin de sobrevivir a un posible reinicio del sistema", explicó el equipo de Cisco. "El cargador se pone en contacto con un servidor de comando y control, recuperando una URL que contiene otro binario para descargar y ejecutar. El binario descargado, findstr, instala un keylogger y escanea la memoria del dispositivo de punto de venta por secuencias de números que pueden ser de tarjetas de crédito. Tras verificar que si son números de tarjeta validos, las capturas de teclado y números de tarjetas de crédito son codificados y enviados a un servidor de exfiltración ".
El componente Keylogger fue potencialmente utilizado para robar contraseñas y podría haber sido el vector inicial de la infección, dijo Cisco.
Al ser ejecutado, el cargador (Loader) comprueba si se está ejecutando con uno de estos dos nombres de archivo: winhost.exe o WinHost32.exe.
Si no es así, el malware se asegurará de que no hay servicio de Windows se está ejecutando con el nombre WinHost. Cargador se copia en %SystemRoot%\System32\winhost.exe, sobrescribiendo cualquier archivo en esa ubicación que pudiera tener el mismo nombre. A continuación, cargador comenzará un servicio llamado WinHost.
Según Cisco, este método permite a la amenaza permanecer funcionando en la memoria incluso si el usuario actual cierra sesión. Si el cargador no es capaz de instalarse como un servicio, se intentará encontrar otras instancias de sí mismo que se ejecutan en la memoria y ponerles fin.
"Poseidon es otro en el creciente número de malware para Point-of-Sale dirigidos a los sistemas de puntos de venta que demuestran las técnicas y enfoques de los autores de malware sofisticado", señaló equipo de Seguridad de Soluciones Cisco. "Los atacantes continuarán apuntando a los sistemas de puntos de venta y el uso de varias técnicas de ofuscación en un intento de evitar la detección. Mientras los ataques de puntos de venta siguen proporcionando ganancias, los atacantes seguirán invirtiendo en innovación y desarrollo de nuevas familias de malware. Los administradores de red tendrán que permanecer vigilantes y adherirse a las mejores prácticas para garantizar la cobertura y la protección contra el avance de las amenazas de malware ".
