Nuevo malware Point-of-Sale de RtPOS

Investigadores de seguridad de Booz Allen Hamilton han descubierto una cepa de malware no vista y no vista previamente que apunta a los sistemas de punto de venta (POS).

El malware, que denominaron RtPOS, parece ser de origen ruso, según un análisis técnico inicial publicado la semana pasada.

En general, esta nueva cepa de malware no es tan sofisticada como otras cepas de malware POS POS, como TreasureHunter, UDPoS, RawPOS o MajikPOS.

Los investigadores dicen que RtPOS contiene solo un conjunto limitado de funciones. Por ejemplo, el binario del malware acepta solo dos argumentos -instalar y eliminar- y nada más.

El malware también es un raspador clásico de RAM, sin campanas y silbatos adicionales. Esto está en contraste con muchas cepas de malware POS recientes que intentan portuar e incluir funciones de infostealers y troyanos de acceso remoto, proporcionando a los delincuentes una amenaza todo en uno para la recolección de datos.

En comparación, RtPOS tiene una función principal, y es observar la memoria RAM de una PC para ver patrones de texto que parecen números de tarjeta y guardar estos números en un archivo DAT local. No busca SSN, contraseñas o datos de licencia de conducir ni nada más.

Pero esta no es la característica más evidente que se destacó sobre RtPOS. El malware, dicen, no tiene funciones de red, lo que significa que no contacta con servidores remotos para obtener comandos adicionales o para filtrar datos robados.

Todos los datos de la tarjeta de pago recopilada se almacenan dentro del archivo DAT local y se dejan allí.

RtPOS parece una cepa de malware en desarrollo

Actualmente, los investigadores no pueden decir por qué sucede esto, pero hay dos teorías principales.

El primero, y lo más probable, es que el malware todavía está en desarrollo, y se agregará una característica de exfiltración de datos en el futuro. Muchos creen que esta es la suposición correcta, ya que el código fuente del malware tampoco presenta ninguna ofuscación. La falta de ofuscación de código es un rasgo común del malware en sus primeras fases.

La segunda teoría es que los atacantes usan otra cepa de malware para infectar a los usuarios, y solo implementan RtPOS con el único propósito de recopilar datos de tarjetas de pago y datos de tarjetas de pago por sí solos. Los atacantes podrían estar utilizando el malware original o alguna otra herramienta para filtrar los datos recopilados, sin tener que empaquetar esta funcionalidad en RtPOS.

Este escenario también es una teoría válida, ya que tener algo más que exfiltrar los datos en intervalos más breves reduce la huella de red del malware, lo que podría evitar que algunos sistemas de protección de puntos finales detecten la actividad de exfiltración de datos del malware.

Semrush sigue a tu competencia


Fecha actualización el 2018-08-28. Fecha publicación el 2018-08-28. Categoria: malware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
malware