Visa alerta: combinaciones de malware en los puntos de venta

Uno de los principales riesgos a los que se enfrentan las entidades de pago como Visa es, sin duda, que los sistemas empleados en las operaciones se puedan ver comprometidos. Y es que basta con pensarlo un segundo para darse cuenta del potencial riesgo que supone un terminal de venta que, del modo que sea, resulte accesible para un ciberdelincuente. Pensemos en la cantidad de tarjetas y de operaciones que pueden pasar por los mismos y el resultado de dicha suma es, sin duda, destacable.

Es por eso que empresas como Visa tienen departamentos dedicados, específicamente, a la ciberseguridad de los sistemas de pago, ya sea a través de Internet o mediante TPVs. Y es que, aunque normalmente se habla más de tiendas online comprometidas, no hay que olvidar que los terminales de venta y de pago también son un objetivo común de los ciberdelincuentes y, por lo tanto, resulta crucial velar por su seguridad y detectar cualquier problema que pueda repercutir en la misma.

En este sentido, Visa ha publicado un informe en el que alerta de un problema de seguridad detectado entre mayo y junio de este año, y que se daba a consecuencia de que varios atacantes estaban empleando combinaciones de malware específico para TPVs. En una línea de ataque se encontraron con una variante de TinyPOS, mientras que la otra involucraba una combinación de familias de malware como MMon (también conocido como Kaptoxa), PwnPOS y RtPOS.

En el primero de los casos, el ataque se inició con una campaña de phishing dirigida a los empleados de la cadena hotelera que fue víctima del mismo. Según informa Visa, los atacantes lograron comprometer las cuentas de los usuarios, incluida una cuenta de administrador, y se utilizaron herramientas administrativas legítimas para acceder al entorno de datos del titular de la tarjeta (CDE) dentro de la red. Una vez de dado ese paso, procedieron a implementar su skimmer. Para agilizar su despliegue, emplearon un script que automatizó la distribución del malware por toda la red corporativa.

En cuanto al segundo ataque, aunque los investigadores de Visa no pudieron identificar el vector de intrusión exacto, lograron reunir evidencias que apuntan a que el atacante usó herramientas de acceso remoto y dumpers de credenciales para el acceso inicial, el movimiento lateral y la implementación de malware. “El malware utilizado en estas etapas del compromiso no se recuperó. Las variantes de malware de POS utilizadas en este ataque se dirigieron a los datos de la cuenta de pago de las tracks 1 y 2 (ISO 7813)”, podemos leer en el informe.

Como indicaba antes, en este segundo ataque detectado por Visa se combinaron varias herramientas:

• Una variante de RtPOS que analiza los procesos disponibles para identificar aquellos de interés, obtiene acceso al espacio de memoria del sistema comprometido e intenta validar todos los datos de track 1 y track 2 que encuentra, utilizando un algoritmo de Luhn.
• MMon (Monitor de memoria), también conocido como Картоха en foros clandestinos, es un veterano en los ataques a los TPV y se relaciona muy directamente con los skimmers JavalinPOS, BlackPOS , POSRAM y otros.
• PwnPOS se instala como servicio para garantizar la persistencia y, una vez operativo, emplea el algoritmo de Luhn para identificar los datos de la tarjeta, escribe los datos en un archivo en texto sin formato, y registra su propio comportamiento general en un archivo de registro.

 

Imagen: Sean MacEntee

La entrada Visa alerta: combinaciones de malware en los puntos de venta es original de MuySeguridad. Seguridad informática.