PoSeidon, El Malware Para Software POS

Un nuevo malware para el software POS ha sido descubierto por los investigadores de Talos Security Intelligence & Research Group de Cisco, el cual ha sido determinado como como el más sofisticado y desagradable malware para software de punto de venta.

El malware Point-of-Sale, apodado «PoSeidon«, está diseñado de una manera que tiene la capacidad del troyano bancario Zeus y BlackPOS el malware que robaron a Millones de estadounidenses minoristas, Target en 2013 y Home Depot en 2014.

El malware PoSeidon scrapea la memoria desde las terminales de los punto de venta para la búsqueda de secuencias de números de tarjetas de los principales emisores de tarjetas como Visa, MasterCard, American Express y Discover, y continúa utilizando el algoritmo Luhn para verificar que los números de tarjeta de crédito o débito de tarjetas son válidas.

El malware entonces lleva los datos de la tarjeta de crédito capturados a dominios con extensión .ru, los cuales se colectan y venden, o eso especulan los investigadores.

«PoSeidon es uno de los programas nocivos para los sistemas de punto de venta que demuestran las técnicas y enfoques sofisticados de los autores del malware», Escribieron los investigadores del equipo de Soluciones de Seguridad de Cisco en un blog.
«Los atacantes continuarán apuntando a los sistemas de punto de venta y usar varias técnicas de ofuscación en un intento de evitar la detección. Mientras los ataques de punto de venta continúan proporcionando retornos, los atacantes seguirán invirtiendo en innovación y desarrollo de nuevas familias de malware».

El malware PoSeidon para los puntos de venta, se compone de un binario Loader que mantiene la persistencia en la máquina de destino en un intento por sobrevivir reinicios y cierres de sesión de usuario. El Loader recibe otros componentes de los servidores de comando y control.

Un binario FindStr descargado posteriormente instala un componente Keylogger que escanea la memoria del dispositivo de punto de venta para la tarjeta de crédito, y así obtener la secuencia de números.

Los números identificados se verifican utilizando el algoritmo de Luhn y se encriptan, para posteriormente ser enviados a uno de los servidores dados, la mayoría de los cuales pertenece a los dominios rusos:

• linturefa.com
• xablopefgr.com
• tabidzuwek.com
• lacdileftre.ru
• tabidzuwek.com
• xablopefgr.com
• lacdileftre.ru
• weksrubaz.ru
• linturefa.ru
• mifastubiv.ru
• xablopefgr.ru
• tabidzuwek.ru

En estos últimos años, una serie malware para puntos de venta ha sido visto en los Estados Unidos, la obtención de datos de tarjetas de crédito con banda magnética de los usuarios, y venderlos en el mercado negro se ha vuelto bastante común.

Los administradores de red deben permanecer vigilantes y deben cumplir con las mejores prácticas del sector para proteger no solo a sí mismos contra el avance de las amenazas para Puntos de Venta, si no también para los usuarios.