PandaLabs ha comunicado que lleva trabajando desde el pasado mes de mayo en una investigación sobre un ataque a terminales para los pagos en el punto de venta en restaurantes de Estados Unidos. En esta investigación ha descubierto una nueva muestra del malware «PunkeyPOS» capaz de dejar los datos de la tarjeta de crédito al descubierto.
Este malware se ejecuta sobre un sistema operativo Windows, aunque la idea original es que se instale en el terminal para robar información sensible como números de cuenta e información de bandas magnéticas de tarjetas
El “PunkeyPOS” instala un «keylogger» para monitorizar las pulsaciones del teclado e instala un “ram-scraper” para leer la memoria de los procesos que están en ejecución. Partiendo de la información capturada, el malware realizará una serie de comprobaciones para determinar la validez de los datos. De este modo, se queda con las pulsaciones de teclado que parezca información de tarjetas de crédito y de la memoria de los procesos extrae lo que le interesa que es principalmente los “tracks1/2” que contienen las bandas magnéticas de las tarjetas bancarias con el fin de utilizarlas para clonarlas.
La información obtenida la transmite de forma cifrada a un servidor web remoto que a su vez hace de comando y control (C&C). La dirección del servidor de comando y control (C&C) puede obtenerse sin mucha dificultad a partir de las muestras de este malware mediante ingeniería inversa o analizando sus comunicaciones. Panda siguió esta pista y localizó el servidor que no estaba correctamente configurado, por lo que pudo acceder a él sin necesidad de credenciales.
En la investigación se detectó que 200 terminales punto de venta habían sido atacados. Por este motivo, el proveedor recomienda el uso de soluciones de seguridad avanzadas como Adaptive Defense 360.
