Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/02/2014
El malware "Chewbacca" va robar dades d'onze països
Després d’un robatori massiu de dades a empreses detallistes als Estats Units, on bases de dades de credencials financeres de més de 110 milions van ser compromeses, es mostra que el sistema de Punts de Venda (POS -Point of Sales-) s’ha convertit en un nou blanc per als cibercriminals. A pesar que el codi danyós BlackPOS ha sigut el major causant d’este robatori de dades, els autors de programari maliciós estan actualitzant i desenrotllant més troians per a atacar els sistemes POS.
Al desembre, els investigadors de seguretat de la firma antivirus Kaspersky Lab van descobrir un troià bancari basat en Tor conegut com a "Chewbacca". Inicialment va ser classificat com un troià financer, però recentment els investigadors de seguretat en RSA han descobert que Chewbacca també és capaç de robar detalls de targetes de crèdit dels sistemes de punt de venda.
Chewbacca, un troià privat relativament nou, emprat en 11 països com un programari maliciós per a POS que està darrere del robatori electrònic. ChewBacca es comunica amb el seu servidor C&C (Comandament i Control) sobre la xarxa de Tor i oculta les parts de l'adreça IP.
El codi roba dades dels sistemes de POS de dos formes:
-
Keylogger genèric que captura tot el que tecleja.
-
Escàner de memòria que llig els processos en memòria i bolca els detalls de les targetes de crèdit.
La xarxa zombis (botnet) ha recol·lectat dades de pagament per ambdós processos des d’octubre 25, d’acord amb RSA.
Durant la instal·lació, ChewBacca crea una còpia de si mateix com un arxiu anomenat spoolsv.exe i es col·loca en la carpeta d’inici de Windows, per la qual cosa pot iniciar-se automàticament en iniciar sessió. Després de la instal·lació, l'enregistrador de teclat (keylogger) crea un arxiu anomenat system.log dins de la carpeta system%temp% que conté els esdeveniments de tecleig junt amb els canvis d’enfocament de finestra.
Ni RSA ni Kaspersky expliquen com es propaga Chewbacca, però la investigació de RSA l'ha localitzat majoritàriament als Estats Units i en altres deu països, incloent-hi a Rússia, Canadà i Austràlia. RSA ha proporcionat dades al FBI sobre l’operació Chewbacca, incloent-hi la ubicació d’un servidor C&C usat pels pirates.