http://www.scmagazine.com/fastpos-malware-goes-modular-adds-stealth-to-speed/article/527466/
Traducción Google:
Cuando los programas maliciosos en el punto de ventaFastPOS fue descubierto a principios de este año, los investigadores observaron cómo el minorista de datos ladrón furtivo sacrificó para la velocidad. Pero a medida que se acerca la temporada de compras navideñas, iteración más reciente del software malicioso parece haber mejorado sus esfuerzos de evasión mediante el uso de una arquitectura modular.
Trend Micro detalla el programa actualizado, apodado FastPOS.A, en una entrada de blog ayer, citando ejemplos de malware recogidos en septiembre, después de que la empresa de seguridad notó «una conexión de red inusual en uno de los extremos de una empresa con sede en América del Norte.» Mucho como el malware en sí, lo que acelera la transmisión de datos de punto de venta robados, sus desarrolladores actuaron con un sentido de urgencia, el lanzamiento de su más reciente campaña de sólo un mes después de que el desarrollador ha registrado un nuevo dominio de comando y control.
Desde su aparición en la naturaleza, se ha destacado FastPOS de muchos de sus homólogos en el que está diseñado para exportar inmediatamente los datos de tarjetas robadas para los atacantes, en lugar de enviar periódicamente en intervalos lotes. Además, en lugar de almacenar los datos robados en un archivo local, el malware fugazmente almacena los datos en la memoria temporal, sin dejar rastro de la actividad física. FastPOS utiliza tanto una herramienta rascador RAM para capturar datos de tarjetas de crédito, software espía y keylogger para capturar información de identificación personal, así como la información de pago.
En la versión nueva y mejorada, el desarrollador ha alterado la arquitectura del software malicioso de manera que cada uno de sus componentes principales – el raspador de RAM (una para sistemas de 32 bits, una para sistemas de 64 bits), el keylogger (de nuevo, una para cada 32 sistemas -bit y 64 bits) y un ejecutable que gestiona el almacenamiento en memoria y la comunicación de C & C – módulos son totalmente independientes.
Ahora, las empresas que gestionan los infectados para detectar uno de estos componentes pueden no necesariamente darse cuenta de que los módulos adicionales continúan recogiendo información de sus redes. «Si encuentra que el servicio de RAM raspador y lo matas, no se dan cuenta de que el keylogger aún se está ejecutando y robar las credenciales», dijo Jon Clay, director de comunicaciones globales de amenazas de Trend Micro, en una entrevista con SCMagazine.com.
El componente keylogger es especialmente difícil para olfatear, informa Trend Micro, debido a que el desarrollador tomó medidas para inyectar su código en la memoria del proceso de explorer.exe – la aplicación de gestión de archivos de Windows Explorer.
FastPOS.A también emplea una manera más innovadora de almacenar datos en la memoria, mediante la colocación de la información robada en procesadores de mensajes – mecanismos que permiten a un solo sentido, las comunicaciones de mensajes cortos entre los procesos locales y de red basados en Windows. Procesadores de mensajes son archivos temporales que residen dentro de la memoria de la máquina antes de que se eliminan en última instancia – una herramienta ideal para los malos actores que buscan subrepticiamente y almacenar datos brevemente sin dejar evidencia.
Según Trend Micro, el uso de procesadores de mensajes fue probablemente un cambio necesario después de que el autor de software malicioso cambió a una arquitectura modular en el que múltiples procesos son simultáneamente y por separado en funcionamiento. «Al ir modular, [el malware] necesitaba un repositorio central donde todos los componentes pueden escribir datos registrados sin necesidad de utilizar un archivo físico», explicó la entrada en el blog.
Mientras procesadores de mensajes son bajos en la memoria y no pueden almacenar grandes cantidades de datos, «la belleza de esto es que [FastPOS es], teniendo que los datos y muy pronto la actualización al servidor C & C, por lo que no se va a quedar en la memoria durante mucho tiempo», dijo Arcilla.
En su blog, Trend Micro teoriza que el desarrollador FastPOS ‘añadió estas modificaciones con la vista puesta en la temporada de compras navideñas, para mejorar el éxito de sus próximas campañas. La compañía confirmó que la campaña de malware se dirige a las empresas pequeñas y medianas empresas en particular.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
