El llamado malware "Punky" - el nombre de los 80 Estados Unidos sitcom Punky Brewster - se esconde en el proceso de explorador de Windows OS, el escaneo de otros procesos en una máquina infectada para los datos de la tarjeta, que posteriormente envía a un servidor remoto.

1. Instituto
internacional de
seguridad
cibern ticaé
MALWARE POS PUNKY
Seguridad informática

2. El llamado malware "Punky" - el nombre de los 80 Estados
Unidos sitcom Punky Brewster - se esconde en el proceso
de explorador de Windows OS, el escaneo de otros
procesos en una máquina infectada para los datos de la
tarjeta, que posteriormente envía a un servidor remoto.
El malware POS, comprueba periódicamente con el
servidor C & C para ver si hay cambios a su propio código o
nuevos programas a ejecutar, Según Trustwave señalan
expertos de seguridad informática en México.
También incluye un keylogger diseñado para recoger 200
caracteres a la vez antes de cifrar y enviar los datos a un
servidor C & C, permitiendo a los atacantes para capturar
nombres de usuario, contraseñas y otra información
importante que podría ayudarlos.
Que es malware Punky

3. La primera etapa de Punky es un inyector que contiene un
binario ofuscado que se decodifica para inyectar en otro
proceso. El inyector obtiene un identificador para el
proceso de explorador, realiza las funciones necesarias
para inyectar un binario en otro proceso y escribe el
archivo en su espacio de proceso. Si el argumento "-s" no
estaba prevista en el inicio, GetModuleFileName se utiliza
para obtener la ruta para el malware actual, y se agrega al
proceso de inyectado. El proceso de inyectado se puso en
marcha a continuación, utilizando CreateRemoteThread y
inyector termina según investigadores de seguridad
informática en México.
Que es malware Punky

4. El inyector se copia de su lugar %USERPROFILE%Local
SettingsApplication Datajuschedjusched.exe
La persistencia se estableció mediante la adición de
"%USERPROFILE%Local SettingsApplication
Datajuschedjusched.exe –s" to
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
key
Se elimina el inyector original. Punky también tiene un
recurso incrustado que escribe en el una DLL de 32 bits que
exporta dos funciones para instalar y desinstalar windows
hooks para interceptar pulsaciones de tecla. Pueden
aprender mas sobre el malware en escuela de Hacking Ético
en México
Impacto de malware Punky

5. Ahora que el entorno está configurado, Punky puede ir al
grano. Una solicitud POST se hace a un servidor C & C. Una
lista incrustado de C & C dominios y / o direcciones IP se
ponen en contacto a su vez, hasta que se establezcan
comunicaciones exitosas. Antes de comenzar el proceso de
escaneado, Punky envía una solicitud POST al servidor C &
C. unkey tiene su propio algoritmo de CHD-caza (lo que
significa que no utiliza expresiones regulares), y cualquier
CHD potencial se comprueba mediante el algoritmo Luhn
para su validez. Si las comprobaciones pasan, a
continuación, los datos se cifran y se envía al servidor. El
hilo se repite continuamente a través de los procesos en
busca de más CHD dicen expertos de Hacking Ético.
Como trabaja malware Punky

6. Un segundo hilo se genera que los mangos de la descarga de
cargas arbitrarias desde el servidor C & C, así como, la
comprobación de actualizaciones a Punky sí. Esto da Punky la
posibilidad de ejecutar las herramientas adicionales en el
sistema, como la ejecución de herramientas de
reconocimiento adicionales o realizar una escalada de
privilegios. Esta es una característica poco común para POS
malware. En el momento empresas de seguridad en la nube
en México como iicybersecurity están trabajando con
empresas de computación en la nube para asegurar
servidores qu etal vez esten corriendo servidores de C& C.
Como trabaja malware Punky

7. CONTACTO www.iicybersecurity.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845