El malware llamado 'cherry picker' ha estado disponible desde 2011, utilizando sofisticadas técnicas para evadir la detección de antivirus al infectar archivos legítimos y raspar datos de la memoria del sistema. Esta herramienta ha evolucionado a su tercera generación y destaca por su capacidad de ocultarse y limpiarse a sí misma tras la infección. Expertos en seguridad informática, como Mike Stevens, han analizado sus mecanismos de operación, revelando el uso de la API queryworkingset de Windows para acceder a la memoria de manera eficiente.

1. WEBIMPRINTSempresa de pruebas de penetración, empresas de seguridad informática
http://www.webimprints.com/seguridad-informatica.html
Cherry Picker Malware

2. Cherry Picker Malware
Según Webimprints un proveedor de pruebas de
penetración, el malware, conocido como "Cherry
Picker," aparentemente ha estado disponible desde
2011. Pero ha permanecido en gran parte
desapercibido por herramientas antivirus y empresas
de seguridad debido a las sofisticadas técnicas que
utiliza para ocultarse de la vista. Cherry Picker es
configurable para diversos propósitos y usando una
nueva técnica para raspar los datos de la memoria de
los sistemas POS que infecta. Uso de cifrado, archivos
de configuración, los argumentos de línea de
comandos, y la ofuscación también han permitido que
el malware para permanecer sin ser detectado por
mucho tiempo.

3. Según expertos deproveedor de pruebas de
penetración, el autor de Cherry Picker ha mantenido
actualización de la herramienta, ya que apareció por
primera vez en 2011. El malware está ahora en su
tercera generación y es notable por varias razones. Por
ejemplo, algunas otras piezas de malware van en la
medida que Cherry Picker hace en la limpieza después
de sí mismo. Técnica de Cherry Picker de infectar un
archivo legítimo en el sistema POS y ejecutar desde
dentro del archivo comprometido sugiere un alto
grado de sofisticación por parte del autor de malware
también.
Cherry Picker Malware

4. Cherry Picker es una DLL que se carga o se inyecta en
el proceso de destino, llamando GetCurrentProcess
recupera un identificador de proceso actual. Esto
funciona también en otros procesos, pero el proceso de
llamada y la necesidad de proceso extranjero que se
abrirán con los privilegios correctos. Con el identificador
de proceso, se realiza una llamada a QueryWorkingSet.
Esta llamada fallará realmente porque no sabemos
cuánto espacio necesitamos para el búfer, pero a
pesar eso devolverá aún el número de páginas virtuales
que actualmente cuenta con el proceso. Esta es la
información que estamos buscando. Conocer el
número de páginas que tenemos nos permite declarar
un búfer con la cantidad correcta de espacio
comenta Mike Stevens profesional de empresa de
seguridad informática.
Cherry Picker Malware

5. Comenta Mike Stevens de empresa de seguridad
informática
con una memoria suficientemente grande, podemos
llamar QueryWorkingSet de nuevo para recuperar la
información acerca de las páginas residente en la
memoria. La API QueryWorkingSet devolverá las
direcciones en el espacio virtual para cada página
física que se asigna a la memoria virtual del proceso.
Normalmente se utiliza VirtualQuery para acceder a la
memoria pero en este caso no. Ambas técnicas le dará
acceso a la misma memoria virtual, pero de una
manera diferente.
Cherry Picker Malware

6. Comenta Mike Stevens de empresa de seguridad
informática que documentación de la API de Microsoft
describe el conjunto de trabajo como:
"El conjunto de trabajo de un programa es una
colección de esas páginas en su espacio de direcciones
virtuales que han sido recientemente referenciados.
Incluye datos compartida y privados"
Esencialmente, QueryWorkingSet está accediendo a la
memoria virtual de una página a la vez, mientras que
VirtualQuery accede a la memoria a través de un rango
variable.
Así Cherry Picker usa nueva técnica para raspar la
memoria con la API QueryWorkingSet de Windows.
Cherry Picker Malware

7. CONTACTO www.webimprints.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845