Los investigadores de Trend Micro descubrieron una variante de 64 bits del malware NewPosThings PoS diseñado para robar las tarjetas de pago y otros datos sensibles.
Los investigadores de Trend Micro han identificado una nueva familia del malware NewPosThings para punto de venta. La nueva variante del malware NewPosThings es una versión de 64 bits, un malware de punto de venta (POS) descubierto por expertos de Arbor Networks en septiembre de 2014. Los expertos confirmaron que el malware ha estado en desarrollo desde octubre de 2013, ya que a continuación, se detectaron muchas variantes activas públicamente, incluyendo la última variante que fue diseñada para arquitecturas de 64 bits.
La variante más reciente, NewPosThings 3.0, implementa nuevos mecanismos anti-depuración y un compresor personalizado.
El malware NewPosThings ha sido diseñado para robar datos de tarjetas de pago y otra información sensible de la máquina objetivo a través del barrido de la memoria, pero también tiene la capacidad de recoger lo que el usuario teclea.
La variante NewPosThings, identificada con el nombre TSPY_POSNEWT. SM, se instala en la máquina de la víctima utilizando diferentes nombres que parecen familiares para los usuarios, incluyendo javaj.exe, vchost.exe, dwm.exe, ism.exe y isasss.exe.
Como se explica en el análisis publicado por TrendMicro, la elección del nombre no es casual, sino que es el resultado de un algoritmo que calcula en base a la información relacionada con la máquina infectada como su nombre y el número de serie de volumen.
Para obtener la persistencia en el objetivo, es decir reconectarse después de ser apagado o reiniciado, NewPosThings utiliza una entrada de registro con el nombre "Java Update Manager".
Una vez infectado el objetivo, el NewPosThings comienza la recolección de datos sensibles, como las contraseñas para programas de acceso remoto como VNC, como UltraVNC, RealVNC, WinVNC, y TightVNC. Entonces, el malware deshabilita los mensajes de advertencia utilizados por el sistema operativo para ciertas extensiones de archivo, incluyendo .exe, .bat, .reg y .vbs. .exe, .bat, .reg y .vbs.
El mismo algoritmo se utilizó para la validación de número de la tarjeta de códigos maliciosos descubiertos recientemente PoSeidon y Soraya.
Las transferencias de datos del NewPosThings al servidor de comando y control (C&C) se dan cada 10 minutos. Los datos recogidos se envía al servidor a través de HTTP.
Entre los servidores C&C utilizados por los autores de malware también hay direcciones IP asociadas con dos aeropuertos de Estados Unidos.
"Analizando los servidores C&C utilizados por el malware de punto de venta, los expertos identificaron direcciones IP asociadas con dos aeropuertos de los Estados Unidos. Trend Micro advierte que los viajeros serán objetivo cada vez más y que los aeropuertos son un ambiente rico en blancos".
Sin duda, PoS malware es cada vez más popular en el submundo del crimen y los expertos esperan un aumento en su uso en los próximos meses.
Los investigadores de Trend Micro han identificado una nueva familia del malware NewPosThings para punto de venta. La nueva variante del malware NewPosThings es una versión de 64 bits, un malware de punto de venta (POS) descubierto por expertos de Arbor Networks en septiembre de 2014. Los expertos confirmaron que el malware ha estado en desarrollo desde octubre de 2013, ya que a continuación, se detectaron muchas variantes activas públicamente, incluyendo la última variante que fue diseñada para arquitecturas de 64 bits.La variante más reciente, NewPosThings 3.0, implementa nuevos mecanismos anti-depuración y un compresor personalizado.
El malware NewPosThings ha sido diseñado para robar datos de tarjetas de pago y otra información sensible de la máquina objetivo a través del barrido de la memoria, pero también tiene la capacidad de recoger lo que el usuario teclea.
La variante NewPosThings, identificada con el nombre TSPY_POSNEWT. SM, se instala en la máquina de la víctima utilizando diferentes nombres que parecen familiares para los usuarios, incluyendo javaj.exe, vchost.exe, dwm.exe, ism.exe y isasss.exe.
Como se explica en el análisis publicado por TrendMicro, la elección del nombre no es casual, sino que es el resultado de un algoritmo que calcula en base a la información relacionada con la máquina infectada como su nombre y el número de serie de volumen.
Para obtener la persistencia en el objetivo, es decir reconectarse después de ser apagado o reiniciado, NewPosThings utiliza una entrada de registro con el nombre "Java Update Manager".
Una vez infectado el objetivo, el NewPosThings comienza la recolección de datos sensibles, como las contraseñas para programas de acceso remoto como VNC, como UltraVNC, RealVNC, WinVNC, y TightVNC. Entonces, el malware deshabilita los mensajes de advertencia utilizados por el sistema operativo para ciertas extensiones de archivo, incluyendo .exe, .bat, .reg y .vbs. .exe, .bat, .reg y .vbs.
Desactivando la advertencia de seguridad Abrir archivo de Microsoft Windows reduce la postura de seguridad global del sistema operativo Microsoft Windows. Esto se debe a que el sistema ya no pide al usuario validar al abrir archivos que podrían haber sido descargados desde fuentes maliciosos ", afirma la entrada del blog publicada por Trend Micro.El NewPosThings comprueba la presencia del software financiero en el equipo de destino, cuando reconoce el proceso asociado que buscar patrones que podrían estar asociados con números de tarjetas de crédito/débito y al igual que otros tipos de malware utiliza el algoritmo Luhn para validar los datos.
El mismo algoritmo se utilizó para la validación de número de la tarjeta de códigos maliciosos descubiertos recientemente PoSeidon y Soraya.
Las transferencias de datos del NewPosThings al servidor de comando y control (C&C) se dan cada 10 minutos. Los datos recogidos se envía al servidor a través de HTTP.
Entre los servidores C&C utilizados por los autores de malware también hay direcciones IP asociadas con dos aeropuertos de Estados Unidos.
"Analizando los servidores C&C utilizados por el malware de punto de venta, los expertos identificaron direcciones IP asociadas con dos aeropuertos de los Estados Unidos. Trend Micro advierte que los viajeros serán objetivo cada vez más y que los aeropuertos son un ambiente rico en blancos".
Sin duda, PoS malware es cada vez más popular en el submundo del crimen y los expertos esperan un aumento en su uso en los próximos meses.
