1

Malware: Nuevo ataque a puntos de venta

Un grupo de atacantes utiliza la botnet Gorynych para desplegar el malware en punto de ventas y robar datos de tarjetas de pago.

Según el más reciente informe de Trend Micro un sofisticado grupo de hackers están reutilización herramientas de pruebas de penetración para irrumpir en las redes de pequeñas y medianas empresas en todo el mundo con el objetivo de infectar los sistemas de punto de venta con malware.

La nueva campaña de ataque comenzó en septiembre y ha sido bautizado como operación Black Atlas por investigadores del proveedor de antivirus.

Según los investigadores, los atacantes utilizan un amplio conjunto de herramientas para escanear Internet e identificar posibles puntos débiles en las redes de diversas organizaciones.

“La práctica de contraseñas débiles hacen a las redes de las organizaciones propensas a ser víctimas de esta etapa inicial de pruebas de penetración”, dijeron los investigadores de Trend Micro en una entrada de blog.

Los atacantes han comprometido las empresas de todo el mundo. Los países más afectados hasta ahora son EE.UU., Australia, India, Taiwán, Alemania y Reino Unido.

Caja de herramientas

El conjunto de herramientas de Black Atlas incluye escáneres de puertos, herramientas de forzado-adivinanzas de contraseñas, escáneres de SMTP (Simple Mail Transfer Protocol), observadores remotos de escritorio y otras aplicaciones de ataque que son fáciles de encontrar en Internet.

Al final, si los atacantes logran minar, utilizan malware y herramientas adicionales para mover la información lateralmente a través de la red y poner en peligro los sistemas de los puntos de venta. Mientras hacen esto, roban varias credenciales en el camino, incluyendo el correo electrónico y contraseñas de Facebook.

BlackPoS y Gorynych

Una vez que tengan acceso a un sistema de punto de venta (PoS), los atacantes instalan un programa de raspado de memoria. Se trata de aplicaciones de malware que exploran la memoria RAM del sistema para obtener más información de tarjetas de pago que se transmiten desde el lector de software para pagos al por menor.

Los investigadores de Trend Micro han visto a los atacantes de Black Atlas utilizando múltiples malware para puntos de venta incluyendo Alina, NewPOSThings y BlackPOS. Este último también fue utilizado en el ataque 2013 contra el destino que tuvo como resultado el compromiso de alrededor de 40 millones de datos de tarjetas de pago.

Los analistas señalan que BlackPOS no tiene un método de exfiltración de datos en línea y, en su lugar, guarda los datos de la tarjeta a un archivo de texto local, los atacantes de Black Atlas, entonces, lo combinan con un programa de puerta trasera tipo botnet conocido como Gorynych o Diamond Fox.

“Gorynych agarra el archivo de texto y hace un HTTP POST para completar la exfiltración de datos. La misma botnet también se utiliza para desplegar BlackPOS en el primer lugar”, explicaron los investigadores de Trend Micro.