Investigadores de Trustwave han publicado el análisis de la amenaza Cherry Picker, un software malicioso en punto de venta (Point of sale) que se fue sin ser detectado en los últimos años.
Un malware de punto de venta, que pasó casi desapercibido durante los últimos años ha sido analizado por los investigadores de Trustwave.
Los expertos en seguridad de Trustwave han analizado un malware de punto de venta insidioso apodado Cherry Picker, la amenaza ha existido desde al menos el 2011. La amenaza implementa técnicas de evasión sofisticadas que le permitieron permanecer bajo el radar a través de los años.
El software malicioso Cherry Picker PoS fue detectado por primera vez en el 2011 por expertos de Trustwave, los investigadores analizaron varias muestras y descubrieron que estaban diseñados para inyectar procesos de gestión de datos de los tarjetahabientes. Una de las piezas de código analizados por Trustwave constaba de dos componentes, una interfaz de línea de comandos (sr.exe), y el searcher.dll que es un código que se inyecta directamente en los procesos dirigidos a bysr.exe.
Cherry Picker pertenece a la familia de analizadores de memoria y utiliza un infecta archivos para lograr persistencia.
"El uso de archivos de configuración de Cherry Picker, el cifrado, la ofuscación y argumentos de la línea de comandos han permitido al malware permanecer bajo el radar de muchas empresas de seguridad y de AV", dijeron los investigadores de Trustwave. "La introducción de la nueva forma de analizar la memoria y encontrar datos de tarjetahabientes, un infecta archivos sofisticado, y un programa limpiador especifico ha permitido que esta familia de malware haya pasado desapercibida en la comunidad de seguridad."
La amenaza incluye un módulo más limpio que le permite eliminar todos los rastros de la infección del sistema.
La última versión del malware Cherry Picker PoS utiliza un conjunto de API llamado QueryWorkingSet para analizar la memoria y recopilar datos de tarjeta. Los datos de la tarjeta se escriben en un archivo que se envía a los servidores de control.
"Una vez que los datos se exfiltraron, comienza el proceso de limpieza. Los desarrolladores de malware crearon una herramienta limpiadora dirigida diseñada para restaurar el sistema infectado a un estado limpio. La amenaza se basa en el popular software de control remoto TeamViewer para sobrescribir y eliminar archivos, registros y entradas de registro. "Informó SecurityWeek.
Los expertos observaron que la presencia de Cherry Picker siempre estuvo acompañada de otras amenazas, como AutoIt PoS malware y el Rdasrv que es uno de los primeros analizadores de RAM de PoS.
Investigadores Trustwave informaron detectar tres tipos diferentes de malware Cherry Picker de punto de venta, las diferentes versiones dan cuenta de la evolución de la otra.
Los investigadores han notado una evolución en el mecanismo de persistencia, las versiones anteriores utilizan una entrada de registro, en los casos más recientes, utiliza una versión actualizada de sr.exe, srf.exe, que se ha utilizado para instalar el malware e inyectar una DLL en los procesos.
The Cherry Picker PoS, diferente a amenazas similares se centra sólo en el proceso que maneje datos de la tarjeta, este proceso esta anotado en el archivo de configuración. Si el malware no encuentra el proceso de inyectar en la máquina, termina.
