Este documento describe un nuevo malware de punto de venta llamado BernhardPOS. Utiliza técnicas como la decodificación en tiempo de ejecución para ocultar su funcionamiento y evadir la detección antivirus. Establece persistencia mediante la programación de tareas y luego inyecta código en procesos específicos para robar datos de tarjetas de crédito. Expertos comentan que toma precauciones para no ser detectado inmediatamente.

1. WEBIMPRINTSempresa de pruebas de penetración, empresas de seguridad informática
http://www.webimprints.com/seguridad-informatica.html
BernhardPOS Malware

2. BernhardPOS Malware
Según Webimprints una empresa de pruebas de
penetración hay un nuevo malware de punto de
ventas se llama BernhardPOS. BernhardPOS lleva el
nombre de (supuestamente) su autor quien dejó en
el camino de construcción de "C: Bernhard
Debug bernhard.pdb" y también usa el nombre de
Bernhard en crear el mutex "OPSEC_BERNHARD". Esta
utilidad hace varias cosas interesantes para evadir
la detección antivirus. API son comúnmente
utilizados en volquetes de tarjetas de crédito y se
utilizan para rastrear el espacio de memoria de
proceso. Bernhard parece tomar un cierto cuidado
para no ser detectado inmediatamente.

3. Según expertos deempresa de pruebas de
penetración en México estas API se resuelven
utilizando prácticas shellcode estándar. Se analiza
de forma manual a través de cabecera PE de
Kernel32 para encontrar la lista de funciones
exportadas, entonces hashes el nombre de cada
uno hasta que coincida con el hash de la API que
está buscando. Utiliza una lógica similar para
resolver las otras API que necesita. Lo hace ocultar
los nombres de los DLL que necesita mediante la
decodificación en tiempo de ejecución mediante el
uso de xor [0x0B, 0x0A, 0x17,0x0D, 0x1A, 0x1F] (el
mismo que se utiliza para exfil abajo). También hace
xor de texto en claro cuando termina.
BernhardPOS Malware

4. Comenta Mike Stevens profesional de empresas de
seguridad informática que Para establecer la
persistencia en el host, el siguiente comando es
decodificada por el malware y ejecutado. Donde
cdcdc7331e3ba74709b0d47e828338c4fcc350d7af9a
e06412f2dd16bd9a089f es el nombre de archivo del
binario.
schtasks /create /tn ww /sc HOURLY
/tr "C:cdcdc7331e3ba74709b0d47e828338c4fcc35
0d7af9ae06412f2dd16bd9a089f"" /RU SYSTEM”
Las opciones son
Task name - ww
Schedule - Hourly
Run as user - System
BernhardPOS Malware

5. Comenta Mike Stevens de empresas de seguridad
informática
que después de todo el código de inicialización, el
malware comienza su rutina de inyección principal
que se corre cada 3 minutos por tiempo indefinido. Al
igual que la mayoría del malware POS, se itera sobre
los procesos en ejecución. A diferencia de la mayoría,
que utilizan CreateToolhelp32Snapshot utiliza
ZwQuerySystemInformation. Esto devuelve una matriz
de estructuras que describen cada proceso que se
ejecuta en el sistema. El malware luego itera sobre
estas estructuras, pasando cada pid y nombre de
proceso a una función que determina si o no para
inyectar.
BernhardPOS Malware

6. CONTACTO www.webimprints.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845

7. CONTACTO www.webimprints.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845