Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Malware RtPOS

RtPOS

Por GoldSparrow en Malware
Traducir a:
Español

RtPOS es un scrapper de datos de punto de venta (PoS) que se ha establecido como una amenaza relativamente única que no forma parte de ninguna familia de malware existente. El nombre de la amenaza se derivó de una ruta de depuración encontrada en la muestra analizada por investigadores de infosec.

Después de analizar el código, se reveló que RtPOS es una amenaza relativamente poco sofisticada en comparación con los raspadores de tarjetas de crédito más avanzados que existen. Acepta solo dos argumentos, / install y / remove, que son responsables del proceso de instalación y la eliminación de la amenaza del dispositivo objetivo. Como forma básica de ofuscación, el malware pretende ser un " Servicio de inicio de sesión de Windows ".

Una vez dentro del sistema comprometido, RtPOS comienza su actividad amenazante al obtener una lista de los procesos del dispositivo a través de CreateToolhelp32Snapshot . Luego comienza a iterar en la lista utilizando Process32FirstW . Finalmente, accede a la RAM aprovechando la función ReadProcessMemory . La recopilación de datos de la memoria del sistema de destino es un objetivo común para la mayoría de los raspadores de tarjetas, ya que este es el lugar donde se almacenan y procesan los datos de la tarjeta antes de que se le haya aplicado cualquier cifrado. Cuando se encuentra un número de tarjeta, RtPOS lo valida mediante el uso de un algoritmo de Luhn. Todos los datos adquiridos se almacenan en un archivo DAT llamado ' sql8514.dat ' creado por el malware en la carpeta ' \ Windows \ SysWOW64 '.

Como dijimos anteriormente, RtPOS carece de varias funciones presentes en amenazas más maduras de este tipo. Por ejemplo, no puede filtrar los datos recopilados por sí mismo. Esta podría ser una elección deliberada para reducir la cantidad de atención que podría generar la amenaza, lo que resultaría en una presencia más prolongada en el dispositivo comprometido y un mayor total de datos desechados. También podría indicar que los piratas informáticos tienen un punto de acceso estable a la red del objetivo.

Tendencias

Mas Visto

Cargando...