Panda Security ha detectado recientemente un nuevo malware POS que denomino Alina . Este malware tiene como finalidad robar la información de las tarjetas de crédito y débito utilizadas en locales comerciales.
El registro de miles de tarjetas de crédito y débito convierte a los Terminales de Punto de Venta en sistemas críticos, además de en un objetivo cada vez más deseable para los ciberdelincuentes por lo sencillo que supone atacar estos dispositivos de manera anónima desde Internet y el lucro económico de vender en el “mercado negro” la información robada.
Recientemente hemos detectado infecciones en un buen número de bares y restaurantes de Estados Unidos cuyos terminales de punto de venta (TPVs) se han visto atacados por un par de variantes de malware cuya finalidad es robar la información de las tarjetas de crédito y débito utilizadas en dichos locales.
Las muestras de malware que vamos a analizar son las siguientes:
- Nombre de Fichero MD5
- Epson.exe 69E361AC1C3F7BCCE844DE43310E5259
- Wnhelp.exe D4A646841663AAC2C35AAB69BEB9CFB3
- Epson.exe presenta un certificado inválido:
Ambas muestras han sido compiladas con Microsoft Visual C++ 8, y no están empaquetadas ni cifradas. Una vez el malware es ejecutado en el sistema, procede a analizar los distintos procesos del sistema en busca de tarjetas de crédito.
Aquí podemos observar como recorren los distintos procesos buscando únicamente aquellos que pueden contener en memoria las tarjetas de crédito:
Alina malware POS
En el caso de la muestra “Epson.exe” buscará las tarjetas de crédito en los siguientes procesos:
Nombre programa Descripción
notepad++.exe : Editor de texto
CreditCardService.exe: Microsoft
DSICardnetIP_Term.exe NETePay for Mercury
DSIMercuryIP_Dial.exe NETePay for Mercury
EdcSvr.exe Aloha Electronic Draft Capture (EDC)
fpos.exe Future POS
mxSlipStream4 / mxSlipStream5 / mxSlipStream.exe / mxSwipeSVC.exe SlipStream POS System Transaction Processor by mXpress
NisSrv.exe Windows 8
spcwin.exe/ Spcwin.exe / SPCWIN.exe /SPCWIN.EXE POSitouch (Food Service Industry POS System)
Vea el análisis completo de Alina Malware POS en https://www.pandasecurity.com/spain/mediacenter/pandalabs/alina-malware-pos/
Conclusión: cómo afrontar un malware POS
Los ataques a TPVs siguen siendo muy populares, sobre todo en países como Estados Unidos donde no es obligatorio el uso de Chip&PIN. Muchos de estos ataques tienen como víctimas a comercios que no cuentan con personal especializado en informática, y mucho menos en seguridad, algo de lo que se aprovechan los atacantes.
Los TPVs son ordenadores que manejan información crítica y por lo tanto deben ser fortificados al máximo para no poner en riesgo la información de los clientes de estos negocios.
Soluciones como Adaptive Defense 360 permiten asegurar que no se ejecute ningún proceso malicioso en dichos terminales, de tal forma que no haga falta contratar a ningún especialista en seguridad ya que gracias al servicio que incluye los técnicos de Panda Security se encargarán de asegurar de que todo lo que se ejecute en nuestro entorno sea seguro.
