Punto de Venta: nueva amenaza hackea al sistema

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Los ciberdelincuentes son cada vez más hábiles, innovadores y sigilosos, mientras la industria expande la superficie de ataque con el IoT, ellos son cada día más letales, digitalmente hablando.

Ahora están adoptando más técnicas clandestinas que se amparan con vectores de ataque ilimitados y son cada vez más difíciles de detectar.

Ahora se ha descubierto una nueva variedad de malware que se basa en una técnica única para robar información de tarjetas de pago de los sistemas de puntos de venta (PoS).

Dado que el nuevo malware POS se basa en el tráfico DNS del Protocolo de datagramas de usuario para la filtración de información de tarjetas de crédito, los investigadores han descubierto el malware, lo denominaron UDPoS.

Sí, UDPoS utiliza las consultas del Sistema de nombres de dominio (DNS) para filtrar los datos robados, en lugar de HTTP que ha sido utilizado por la mayoría de los malware POS en el pasado.

Este malware también se cree que es el primero de su tipo.

Además de usar solicitudes DNS “inusuales” para filtrar datos, el malware UDPoS se disfraza como una actualización de LogMeIn, un servicio legítimo de control de escritorio remoto utilizado para administrar computadoras y otros sistemas de forma remota, en un intento de evitar la detección mientras se transfiere el pase de datos de la tarjeta de pago robada, un firewall y otros controles de seguridad.

La muestra de malware analizada por los investigadores enlaza con un servidor de comando y control (C & C) alojado en Suiza en lugar de los sospechosos habituales de los Estados Unidos, China, Corea, Turquía o Rusia.

El servidor alberga un archivo dropper, que es un archivo autoextraíble que contiene el malware real.

Cabe señalar que el malware UDPoS solo se puede orientar a los sistemas POS más antiguos que utilizan LogMeIn.

Al igual que la mayoría de los programas maliciosos, UDPoS también busca de forma activa software antivirus y máquinas virtuales y deshabilita si encuentra alguno.

Los investigadores dicen que no está claro en este momento si esto es un reflejo de que el malware aún se encuentra en una etapa relativamente temprana de desarrollo y prueba.

Aunque no hay evidencia de que el malware UDPoS se esté utilizando actualmente para robar datos de tarjetas de crédito o débito, las pruebas han demostrado que el malware sí puede hacerlo con éxito.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris