Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/03/2013
Alerten d'atacs de malware contra sistemes punt de venda
Denominat vSkimmer, el troià està dissenyat per infectar ordinadors Windows que disposen d’un lector de targetes associat, destaca l’analista de seguretat de McAfee, Chintan Shah en el seu blog.
El passat 13 de febrer va ser detectat per primera vegada este tipus d’infecció en la xarxa de sensors de MAcAfee i ja s’està promocionant en fòrums pirates com una versió millorada de Dexter, un programa malware d’atac a punts de venda que es va descobrir el passat mes de desembre.
Una vegada instal·lat en un ordinador, vSkimmer aconseguix informació del sistema operatiu, inclosa la seua versió, identificador GUID únic, el llenguatge per defecte, el nom de la màquina i el nom d’usuari actiu. Esta informació s’envia al servidor control and commmand, en format codificat, com a part de totes les peticions HTTP i és utilitzat pels pirates per a rastrejar màquines infectades individualment. El malware espera que el servidor responga amb un comandament “dlx” (descàrrega i execució) o un altre “d’upd” (actualització).
El virus vSkimmer busca la memòria de tots els processadors que corren en l’ordinador infectat, excepte la d’aquells inclosos en una llista blanca de seguretat, per a trobar informació que coincidisca amb un patró concret. Este procés es definix per a trobar i extraure dades de targetes Track 2, de la memòria del processador associat al lector de la targeta de crèdit.
Les dades Track 2 són informació allotjada en la banda magnètica d’una targeta de pagament que pot ser utilitzada per a clonar-la, a menys que utilitzen l’estàndard de pagament EMV (xip i pin).
El malware també oferix un mecanisme d’extracció de dades fora de línia. Quan una connexió a Internet no està disponible, vSkimmer espera que es connecte a l’ordinador infectat un USB amb el nom KARTOXA007 i llavors còpia un arxiu d’accés amb les dades capturades, afig Shah.
Açò suggerix que vSkimmer va ser dissenyat també per a suportar operacions de pagament amb targetes fraudulentes que aporten ajuda interna a més de per a realitzar robatoris remots.
Este malware és un exemple de com el frau financer està evolucionant i com els virus troians s’estan movent cap als ordinadors d’usuaris de banca en línia individuals per a accedir als terminals de pagament, conclou Shah.