1

Malware ModPos pone la mira en los minoristas

El sofisticado malware descubierto recientemente ya ha afectado a muchos minoristas y a expuesto millones de tarjetas.

El código malicioso denominado ModPos fue revelado en una reciente investigación de iSight Partners, Inc. que, además, deja en claro que es probable que la infección se siga extendiendo porque es especialmente difícil de detectar.

“La forma en que el malware es capaz de ocultarse hace que sea extremadamente difícil para los minoristas contar con capacidades para detectarlo“, explico Stephen Ward, director senior de la firma de inteligencia de amenazas cibernética con sede en Dallas.

El ejecutivo destacó que le tomó meses a los investigadores obtener una visión clara de este malware utilizando técnicas de ingeniería inversa y que, luego, han pasado un mes informando a los minoristas sobre cómo detectarlo.

Además, Ward destacó que los expertos de la compañía también están trabajando con el Retail Cyber Intelligence Sharing Centery y. llevarán a cabo dos sesiones informativas adicionales esta semana para más de 100 minoristas.

Amenaza furtiva

Como su nombre lo indica, ModPos es un malware altamente modular que se dirige a sistemas de punto de venta con keylogger, raspado de RAM, robo de credenciales y funciones de reconocimiento de red.

“Lo que estamos viendo es el código shell que consta de hasta 600 funciones, lo cual es astronómico“, explicó María Noboa, analista senior de amenaza iSight. “En comparación, el código shell típico tendría sólo un puñado de funciones”, dijo.

Según señala Noboa, el framework ModPos también incluye controladores del núcleo hackeado es lo que hace que esta familia de malware sea muy peligrosa.

“Son esencialmente rootkits. Eso es difícil de detectar”, explicó.

El único aspecto positivo de este malware, al menos hasta ahora, es que sus creadores no lo están vendiendo en foros subterráneos ni encontrando otras formas para distribuirlo al público.

“Tenemos investigadores de todo el mundo en busca de cualquier señal de personas que tratan de compartir el código y, hasta el momento, no hemos encontrado ninguna. Esto nos da una indicación de que los autores lo están manteniendo cerca de su pecho, porque es un centro de beneficio para ellos. Clasificamos esto como autor / operador, porque creemos que la gente que escribió el malware  son los que operan el misma”, explicó la investigadora.

Noboa agregó que es difícil determinar quiénes son los autores o dónde están ubicados.

“Pero hay indicadores que apuntan a Europa del Este: incluyen dominios maliciosos en Rusia y la infraestructura de comando y control basados ​​en Ucrania“, dijo.

EMV no es suficiente

Muchos minoristas están actualmente en el proceso de convertir a EMV, lo que les permite aceptar en el punto de venta tarjetas de pago con chip que son más seguras.

Eso podría ayudar a las empresas a defenderse contra ModPos pero sólo si lo hacen bien.

“Hay una tendencia a pensar que si usted tiene terminales EMV, eso basta.

Pero tiene que ser implementado correctamente, con un verdadera cifrado de extremo a extremo, incluyendo la encriptación de datos en la memoria. Eso es clave aquí, porque el malware de punto de venta capitaliza datos en la memoria. Si no está encriptado, ModPos puede todavía agarrar esos datos en texto”, explicó la especialista.

Noboa destaca que, a pesar de los terminales EMV, el resto de la infraestructura de una empresa aún podría ser vulnerable a los atacantes, incluyendo otras bases de datos, propiedad intelectual, documentos financieros.

“La modularidad permite que lo utilicen como el cuchillo del ejército suizo”, dijo Ward.