Malware

Investigadores encuentran un nuevo malware POS sin capacidades de exfiltración de datos

De momento no se ha detectado la finalidad de este tipo de malware, que bien podía ser una herramienta post-compromiso o tratarse de un elemento aún en desarrollo.

malware

Recientemente un grupo de investigadores han descubierto un programa de malware para puntos de venta, RtPOS, que guarda los datos de las tarjetas de pago localmente pero no los filtra a un servidor de comando y control, hecho por el cual es menos probable que su actividad sea detectada como anómala.

Esta falta de filtración también sugiere que el malware es una herramienta post-compromiso que los atacantes solo usarían si ya han comprometido la máquina objetivo y tienen otros medios para transmitir los datos robados, según se explica en la publicación de blog de Booz Allen. Otra opción es que este programa, RtPOS, esté aún en desarrollo y no se hayan agregado sus capacidades de exfiltración.

Según su tiempo de compilación 2017, RtPOS ha existido de alguna forma desde al menos el año pasado. Con capacidades de red cero, solo se puede encontrar en el punto final infectado de la víctima. Cuenta con un código de idioma ruso, y su nombre de archivo, alohae.exe, sugiere falsamente que el malware es realmente el "Servicio de inicio de sesión de Windows".

Tras la instalación, RtPOS "realiza los procesos disponibles / en ejecución en la máquina comprometida", explica la publicación del blog. "Esto se lleva a cabo en dos pasos: primero, RtPOS usa CreateToolhelp32Snapshot para obtener una lista de procesos, y finalmente utiliza Process32FirstW para comenzar la iteración de la lista de procesos".

Más tarde, utiliza la función ReadProcessMemory para acceder al espacio de memoria del sistema POS, presumiblemente para realizar un rastreado de RAM en las transacciones antes de poder cifrar los datos de pago. Luego, el malware toma los datos robados de la Pista 1 y la Pista 2 con una fórmula de suma de verificación para validar los números de la tarjeta de pago. Los que se consideran válidos se guardan en un archivo .dat en la carpeta \ Windows \ SysWOW64 para su posterior exfiltración, aunque el malware en sí no puede realizar esa función.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper