BrutPOS: botnet que ataca RDP y PoS
Los delincuentes están infectando con malware miles de computadoras con Microsoft Remote Desktop Protocol (RDP) mal configurados y están utilizados estas máquinas comprometidas para ingresar y obtener información de terminales de Punto de Venta (PoS).
La nueva campaña de botnet, bautizada por FireEYE como BrutPoS, tiene como objetivo robar información de pago de sistemas PoS y otros lugares donde se almacenan datos de pago. Los sistemas infectados son servidores RDP mal aseguradas y/o con contraseñas débiles.
Un grupo de tres investigadores de FireEye, encontraron que 51 de 60 servidores de Remote Desktop Protocol (RDP) ubicados en Estados Unidos habían sido accedidos con usuario "administrador" y contraseñas como "pos" y "Password1". Los investigadores descubrieron cinco servidores de comando y control (C&C) de BrutPOS, tres de los cuales estaban fuera de línea y dos estaban activos en Rusia.
La campaña ha estado activa desde al menos febrero de este año y según el último recuento, los delincuentes tenían 5.622 bots en 119 países, la mayoría de ellos ubicados en Europa,más probable en Rusia o Ucrania.
"El sistema infectado comienza a hacer conexiones al Puerto 3389; si el puerto está abierto agrega la IP a la lista de servidores para luego realizar un ataque de fuerza bruta sobre las credenciales; si el sistema infectado es capaz de forzar la contraseña, envía las credenciales al C&C".
Una vez que el malware BrutPOS "adivina" correctamente las credenciales de acceso remoto de un sistema habilitado para RDP, el atacante utiliza esa información para extrae información financiera del mismo.
Cristian de la Redacción de Segu-Info
La nueva campaña de botnet, bautizada por FireEYE como BrutPoS, tiene como objetivo robar información de pago de sistemas PoS y otros lugares donde se almacenan datos de pago. Los sistemas infectados son servidores RDP mal aseguradas y/o con contraseñas débiles.
Un grupo de tres investigadores de FireEye, encontraron que 51 de 60 servidores de Remote Desktop Protocol (RDP) ubicados en Estados Unidos habían sido accedidos con usuario "administrador" y contraseñas como "pos" y "Password1". Los investigadores descubrieron cinco servidores de comando y control (C&C) de BrutPOS, tres de los cuales estaban fuera de línea y dos estaban activos en Rusia.
La campaña ha estado activa desde al menos febrero de este año y según el último recuento, los delincuentes tenían 5.622 bots en 119 países, la mayoría de ellos ubicados en Europa,más probable en Rusia o Ucrania.
Una vez que el malware BrutPOS "adivina" correctamente las credenciales de acceso remoto de un sistema habilitado para RDP, el atacante utiliza esa información para extrae información financiera del mismo.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!