Poseidon, el nuevo troyano bancario
PoSeidon es un software malicioso que ha sido descubierto en las últimas
horas por varios investigadores de seguridad y del que aún no se conoce
demasiada información sobre su origen ni el tiempo que lleva operando
de forma oculta. Este malware mezcla la naturaleza del troyano bancarios
Zeus (temido por empresas e investigadores de seguridad) junto con las
funcionalidades de BlackPOS que juntos han robado millones de dólares de
diferentes entidades bancarias entre 2013 y 2014.
Una de las características de este
malware es el análisis de la memoria de los diferentes TPV en busca de
posibles números de tarjetas de crédito utilizados en ellos. Una vez que
detecta un posible número aplica el algoritmo Luhn para comprobar si es
válida o no y, de serlo, la recopila y envía al servidor de los piratas
informáticos de forma anónima y cifrada. Todas las tarjetas recopiladas
son almacenadas en una base de datos para posteriormente venderse en el
mercado negro por una elevada cantidad de dinero.
PoSeidon también cuenta con un keylogger
encargado de recopilar los códigos de seguridad de las tarjetas para
posteriormente asociarlos a los números de tarjeta válidos.
Este malware se basa principalmente en
un archivo binario, inofensivo pero persistente. Una vez que este
binario está cargado en la memoria se descarga desde un servidor de
comando y control los módulos maliciosos que empiezan a operar en el
dispositivo víctima. En caso de detección y eliminación del malware,
este se vuelve a ejecutar de forma automática mediante el binario
residente en la memoria.
Tanto el servidor C&C como el de
recopilación de los datos de PoSeidon tienen un dominio .ru, lo que hace
pensar que el origen de este malware se encuentra en Rusia, aunque aún
no se ha confirmado. Tanto los administradores de los dispositivos TPV
como los responsables de seguridad deben prestar atención a cualquier
actividad anómala que pueda ser fruto de una infección de este u otro
malware.
Fuente:http://www.redeszone.net/
