Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/02/2014
El malware "Chewbacca" robó datos de once países
Después de un robo masivo de datos a empresas minoristas en Estados Unidos, donde bases de datos de credenciales financieras de más de 110 millones fueron comprometidas, se muestra que el sistema de Puntos de Venta (POS -Point of Sales-) se ha convertido en un nuevo blanco para los cibercriminales. A pesar de que el código dañino BlackPOS ha sido el mayor causante de este robo de datos, los autores de malware están actualizando y desarrollando más troyanos para atacar los sistemas POS.
En diciembre, los investigadores de seguridad de la firma antivirus Kaspersky Lab descubrieron un troyano bancario basado en Tor conocido como "Chewbacca". Inicialmente fue clasificado como un troyano financiero, pero recientemente los investigadores de seguridad en RSA han descubierto que Chewbacca también es capaz de robar detalles de tarjetas de crédito de los sistemas de punto de venta.
Chewbacca, un troyano privado relativamente nuevo, empleado en 11 países como un malware para POS que está detrás del robo electrónico. ChewBacca se comunica con su servidor C&C (Mando y Control) sobre la red de Tor ocultando las partes de la dirección IP.
El código roba datos de los sistemas de POS de dos formas:
- Keylogger genérico que captura todo lo tecleado.
- Escaner de memoria que lee los procesos en memoria y volca los detalles de las tarjetas de crédito.
La botnet ha recolectado datos de pago por ambos procesos desde octubre 25, de acuerdo con RSA.
Durante la instalación, ChewBacca crea una copia de sí mismo como un archivo llamado spoolsv.exe y se coloca en la carpeta de inicio de Windows, por lo que puede iniciarse automáticamente al iniciar sesión. Después de la instalación, el keylogger crea un archivo llamado system.log dentro de la carpeta system%temp% que contiene los eventos de tecleo junto con los cambios de enfoque de ventana.
Ni RSA ni Kaspersky explican cómo se propaga Chewbacca, pero la investigación de RSA lo ha localizado mayoritariamente en Estados Unidos y en otros diez países, incluyendo a Rusia, Canadá y Australia. RSA ha proporcionado datos al FBI sobre la operación Chewbacca, incluyendo la ubicación de un servidor C&C usado por los hackers.