Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Malware PwnPOS

PwnPOS

Por GoldSparrow en Malware
Traducir a:
Español

PwnPOS es un malware raspador de tarjetas de Punto de Venta (PoS) que, según el investigador que lo descubrió, ha logrado pasar desapercibido durante más de siete años gracias a su estructura relativamente simple. PwnPOS consta de dos módulos: uno es responsable de raspar la memoria del sistema comprometido, mientras que el otro realiza la exfiltración de los datos recopilados. Cabe señalar que la amenaza solo puede operar en sistemas de 32 bits. A primera vista, esto puede parecer un obstáculo bastante significativo para los planes amenazantes de los piratas informáticos porque, en el panorama actual, la mayoría de los sectores han cambiado al uso de sistemas de 64 bits. La infraestructura de punto de venta no necesita necesariamente una actualización para funcionar de manera óptima, aunque muchos todavía usan Windows XP o Windows 7.

Hasta ahora, se ha detectado que las operaciones de PwnPOS están implementando malware de POS adicional, como BlackPOS y Alina . En cuanto a la distribución geográfica de las víctimas detectadas, no se pudo determinar ninguna región concreta, ya que se han encontrado objetivos en varios continentes diferentes, desde Japón hasta Alemania y Rumania, Estados Unidos y Canadá, también Australia e India.

De forma predeterminada, PwnPOS se instalará en ' % SystemRoot% \ system32 \ wnhelp.exe. A continuación, simulará ser un servicio de 'Ayuda de Windows Media' y procederá a ejecutarse a través del interruptor ' -service '. A través de argumentos adicionales, la amenaza puede agregarse o eliminarse de la lista de procesos, lo que da como resultado un cierto estado de persistencia en el sistema comprometido.

El proceso de extracción de datos se lleva a cabo enumerando la lista de procesos en ejecución por PwnPOS otorgándose a sí mismo el permiso ' SeDebugPrivilege '. Cualquier cadena adecuada se valida mediante el uso del algoritmo de Luhn antes de almacenarse en un archivo DAT denominado ' perf419.dat. 'Toda la información del archivo se puede tomar y extraer mediante uno de dos binarios diferentes.

Tendencias

Mas Visto

Cargando...