Mezcle Chewbacca con Dexter, obtenga LusyPOS

[ware_item id=33][/ware_item]

Mezcle Chewbacca con Dexter, obtenga LusyPOS


Se ha encontrado que los mercados de Darknet venden LusyPOS, un nuevo tipo de malware de punto de venta que es similar en naturaleza a otros raspadores de RAM utilizados en algunas de las violaciones de datos de mayor perfil de 2014.

Se usó malware similar en la violación de Target el año pasado que vio el compromiso de 40 millones de tarjetas de pago, 70 millones de registros y cientos de millones de dólares en costos asociados.

Más recientemente, la violación de Home Depot vio el compromiso de 56 millones de tarjetas, así como 53 millones de direcciones de correo electrónico en un ataque similar. Como resultado, la compañía enfrenta múltiples demandas en los EE. UU. Y Canadá.

Los posibles delincuentes cibernéticos, y casi cualquier otra persona con $ 2,000 en su bolsillo trasero, pueden recoger el malware de sitios web de tarjetas subterráneas hoy, sin preguntas..

LusyPOS, que con 4 MB es más grande que otras variantes, fue descubierto por los ingenieros de CTBS a principios de este mes. Nick Hoffman y Jeremy Humble analizaron "lusypos.exe" después de que apareció en VirusTotal y descubrieron que tenía muchas similitudes con otras dos familias notorias de malware POS: Chewbacca y Dexter.

La pareja observó que el código de la nueva variante contenía cadenas de comando y control, procesamiento de la lista blanca y persistencia de la clave de registro que sugieren que "puede haber seguido el ejemplo de dexter". También se observó que su código de raspado de RAM es similar al encontrado en otros malware similar y el método de verificar que los datos raspados son información válida de seguimiento de tarjeta de crédito (el algoritmo Luhn, el medio estándar para verificar los números de tarjeta de crédito).

Al igual que Chewbacca, LusyPOS también utiliza la red TOR que ofrece la promesa de anonimato a los controladores que pueden usarla para acceder a la información a través de un servidor remoto.

Técnicamente hablando, no hay una buena razón para que una máquina POS hable con TOR, y tampoco debería permitírselo. En términos de cumplimiento del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), dicha comunicación debería estar expresamente prohibida con Hoffman diciendo que "la mayoría de las auditorías de PCI intentarán bloquear este tipo de actividad, pero parece haber demonios en la implementación que permiten malware como esto para tener éxito ". Por lo tanto, dicha actividad es un buen medio para detectar la presencia de malware POS en un sistema: si se detectan nombres de dominio sospechosos, como los que tienen un dominio .onion, deben bloquearse de inmediato..

Cuando LusyPOS se envió inicialmente a VirusTotal el 30 de noviembre, solo fue detectado por 7 de sus 55 motores AV (y dos de ellos lo marcaron solo por el uso de TOR). Ahora, dos semanas después, solo 27 de ellos lo detectan..

Hoffman y humilde concluyeron que “Esto es solo un rasguño en la superficie de una nueva familia de malware. Tendremos curiosidad por ver cómo evoluciona en los próximos dos años y seguir su progreso ".

Mezcle Chewbacca con Dexter, obtenga LusyPOS
admin Author
Sorry! The Author has not filled his profile.