Actualizacion malware FastPoS PoS
El autor del malware FastPoS PoS emitió una actualización que cambia profundamente su comportamiento, prefiriendo una actividad de exfiltración rápida.
El grupo criminal detrás de FastPoS el malware OP tienen actualizado su código malicioso para mejorar la eficiencia de robar datos de tarjetas de crédito de los sistemas infectados antes de la temporada de navidad.
FastPoS fue descubierto por primera vez en marzo del 2015 y su autor utiliza para emitir actualizaciones pre-Navidad para apuntar también nuevos sistemas de punto de venta.
En junio expertos en seguridad de Trend Micro descubrieron una nueva variante de la amenaza en la naturaleza de la era capaz de exfiltrate rápidamente los datos cosechados. El malware ha sido utilizado para dirigirse tanto a las empresas pequeñas y medianas empresas y en varios países de todo el mundo, incluyendo los Estados Unidos, Brasil, Francia, Japón, Hong Kong y Taiwán.
El malware FastPOS se sirve generalmente a través de sitios web comprometidos, a través del acceso VNC usando credenciales robadas o ataques de fuerza bruta, o por medio de un servicio de intercambio de archivos.
Ahora bien, el autor de los FastPoS publicó una actualización que ha cambiado profundamente su comportamiento, prefiriendo una actividad exfiltración rápida incluso si es más ruidoso. La intención del autor es robar datos de tarjetas de pago para tener más tiempo para usarlos antes que los bancos pueden suspenderlo.
FastPOS es un software malicioso que tiene una estructura modular que incluye un componente de raspador de memoria y un capturador de teclado.
La nueva versión de los componentes de FastPOS son:
- Serv32.exe crea y supervisa un procesador de mensajes y envía su contenido al servidor C & C
- Kl32.exe componente de keylogger (32 bits)
- Kl64.exe componente de keylogger (64 bits)
- Proc32.exe RAM rascador (32 bits)
- Proc64.exe RAM rascador (64 bits)
Cuando los datos de la tarjeta son capturadas en el sistema infectado que no se almacenan localmente, sino que se transfieren directamente a los servidores de comando y control en texto claro.
Los expertos notaron que el autor tomó cerca de un mes a partir de registrar el dominio C & C (mediados de agosto) para el lanzamiento de su nueva campaña.
Las nuevas muestras de malware FastPoS PoS analizada por almacenar datos en archivos de TrendMicro RAM temporal de Windows llamado "procesadores de mensajes", un mecanismo que aumenta la velocidad de la exfiltración de datos.
"Información robada se almacena ahora en procesadores de mensajes , un mecanismo para que las aplicaciones puedan almacenar y recuperar mensajes. El uso de procesadores de mensajes para evadir la detección de AV no es nueva. "Segun el análisis publicado por Trend Micro.