El documento describe el malware AbaddonPoS, el cual se descarga inicialmente como parte de una infección por Vawtrak. AbaddonPoS luego busca y roba datos de tarjetas de crédito de la memoria de otros procesos en la máquina infectada, y los envía de forma encriptada a un servidor de comando y control. El malware utiliza varias técnicas como anti-análisis y ofuscación para evadir detección. Representa un riesgo importante para los sistemas de punto de venta debido a que estos sistemas contienen datos
2. El malware fue descubierto como se descargó en el
proceso de una infección Vawtrak. Este uso de cargas
adicionales para mejorar las capacidades de ataque
ofrece otro ejemplo de los esfuerzos de los hackers
para ampliar sus superficies de ataques a través de la
entrega de cargas múltiples en una sola campaña, en
este caso incluye terminales de punto de venta.
Vawtrak descarga TinyLoader. TunyLoader es un
programa de descarga que utiliza un protocolo
personalizado para descargar cargas útiles ejecutables
de su servidor de comando y control. TinyLoader se
utiliza para descargar otro programa de descarga en
forma de código shell, que luego descarga
AbaddonPoS Malware mencionan expertos de
soluciones de seguridad informática.
Qué es AbaddonPoS Malware
3. Dicen expertos de soluciones de seguridad informática
que el AbaddonPoS Malware luego intenta localizar los
datos de tarjetas de crédito mediante la lectura de la
memoria de todos los procesos, excepto sí mismo. Una
vez que se descubre que los datos, envía estos datos a
un servidor de comando y control que utiliza un
protocolo propio binario en lugar de HTTP.
Comunicación y exfiltración de datos de la tarjeta de
crédito se lleva a cabo por el código Shell decodificado
descargado por TinyLoader. El malware utiliza la
metodología de aumentar las superficies de ataques
mediante el aprovechamiento de una sola campaña
para entregar múltiples cargas útiles.
El AbaddonPoS Malware
4. AbaddonPoS utiliza técnicas como el anti-análisis y la
ofuscación que hacen que sea más difícil de rastrear.
Asimismo, el malware podría infectar a un terminal a
través del Angler expliot kit o por medio de un
documento infectado de Microsoft Office. Código de
malware de AbaddonPoS no está ofuscado o
embalado, excepto el código utilizado para codificar y
transmitir datos de tarjetas de crédito robadas.
AbaddonPoS se aprovecha de las empresas que
utilizan el mismo equipo para procesar las
transacciones de punto de venta y revisar su correo
electrónico. El malware resiste análisis y codifica los
datos de la tarjeta de crédito robada para facilitar la
transferencia explica profesor decurso de seguridad en
redes.
Cómo Funciona
5. Expertos de curso de seguridad en redes dicen que
Sistemas de punto de ventas ejecutan sistemas
operativos como Microsoft Windows y Linux, están
sujetos a la gama de ataques que vemos en los
ordenadores personales y servidores. Sin embargo,
hay beneficios financieros directo para atacar los
sistemas de punto de venta y los hackers se realizan
importantes inversiones para comprometer estos
sistemas. Mala segmentación de la red y la mala
gestión de reglas de firewall y la ejecución está
dejando sistemas de punto de ventas vulnerables.
Cómo Funciona
6. La introducción de la EMV (tarjetas chip) usando
lectores de tarjetas separados, en lugar del punto
de venta lector de banda magnética (MSR),
reducirá los riesgos y debería reducir el acceso a
los datos del titular de la tarjeta en el futuro de
manera significativa. Para protegerse mejor, las
organizaciones deben asegurarse de que las redes
de POS son separadas de redes de usuarios
regulares según capitación de análisis informática
forense .
Cómo Funciona
7. CONTACTO www.iicybersecurity.com
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845