24 mar 2015

PoSeidon: nuevo troyano que infecta PoS

Los terminales de punto de venta, o Point-of-Sale (POS), mueven a diario un gran número de tarjetas de crédito en las pequeñas y medianas empresas. Aunque en teoría este método de pago es seguro, los dispositivos son vulnerables a posibles infecciones de malware, especialmente aquellos conectados directamente a un ordenador. Por ello los delincuentes siempre buscan nuevas formas de atacar estos dispositivos con el fin de hacerse con el mayor número de datos bancarios posible para posteriormente venderlos o utilizarlos fraudulentamente.

PoSeidon es un software malicioso que ha sido descubierto en las últimas horas por varios investigadores y del que aún no se conoce demasiada información sobre su origen ni el tiempo que lleva operando de forma oculta. Este malware mezcla la naturaleza del troyano bancarios Zeus (temido por empresas e investigadores de seguridad) junto con las funcionalidades de BlackPOS que juntos han robado millones de dólares de diferentes entidades bancarias entre 2013 y 2014.
Una de las características de este malware es el análisis de la memoria de los diferentes PoS en busca de posibles números de tarjetas de crédito utilizados en ellos. Una vez que detecta un posible número aplica el algoritmo Luhn para comprobar si es válida o no y, de serlo, la recopila y envía al servidor de los piratas informáticos de forma anónima y cifrada. Todas las tarjetas recopiladas son almacenadas en una base de datos para posteriormente venderse en el mercado negro por una elevada cantidad de dinero.
PoSeidon también cuenta con un keylogger encargado de recopilar los códigos de seguridad de las tarjetas para posteriormente asociarlos a los números de tarjeta válidos.

Este malware se basa principalmente en un archivo binario, inofensivo pero persistente. Una vez que este binario está cargado en la memoria se descarga desde un servidor de comando y control los módulos maliciosos que empiezan a operar en el dispositivo víctima. En caso de detección y eliminación del malware, este se vuelve a ejecutar de forma automática mediante el binario residente en la memoria.

Tanto el servidor C&C como el de recopilación de los datos de PoSeidon utilizan dominios .ru, lo que hace pensar que el origen de este malware se encuentra en Rusia, aunque aún no se ha confirmado. Tanto los administradores de los dispositivos TPV como los responsables de seguridad deben prestar atención a cualquier actividad anómala que pueda ser fruto de una infección de este u otro malware.

Fuente: The Hacker News

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!