LockPoS: los retailers siguen mirando para otro lado

LockPoS
LockPoS

El malware LockPoS para vulnerar Point-of-Sale (PoS) ha estado aprovechando una nueva técnica de inyección de código para comprometer los sistemas, dicen los investigadores de Cyberbit.

Este vector fue detectado en julio de este año, LockPoS roba datos de la tarjeta de crédito de la memoria de las computadoras conectadas a los escáneres de tarjetas de crédito PoS.

El malware fue diseñado para leer la memoria de los procesos en ejecución y recopilar datos de tarjetas de crédito que luego se envían a su servidor de comando y control (C & C).

El análisis previo reveló que la amenaza utilizaba un dropper que lo inyectaba directamente en el proceso explorer.exe.

Después de la ejecución, el dropper extrae un archivo de recursos de sí mismo e inyecta varios componentes que cargan la carga final de LockPoS.

El malware ahora emplea un método de inyección que parece ser una nueva variante de una técnica previamente empleada por el malware Flokibot PoS.

Con LockPoS distribuido desde la botnet Flokibot, y con las dos amenazas compartiendo similitudes, esto no es una sorpresa.

Una de las técnicas de inyección empleadas por LockPoS implica crear un objeto de sección en el kernel, llamando a una función para mapear una vista de esa sección en otro proceso, luego copiar código en la sección y crear un hilo remoto para ejecutar el código asignado, dice Cyberbit.

LockPoS

LockPoS se observó que usa 3 rutinas principales para inyectar código en un proceso remoto, concretamente NtCreateSection, NtMapViewOfSection y NtCreateThreadEx, las 3 rutinas exportadas desde ntdll.dll, un archivo de biblioteca de enlace dinámico (DLL) en el sistema operativo Windows.

En lugar de llamar a dichas rutinas, el malware asigna ntdll.dll desde el disco a su propio espacio de direcciones virtuales, lo que le permite mantener una copia “limpia” del archivo DLL.

LockPoS también asigna un búfer para guardar el número de llamadas del sistema, copia el código malicioso en la sección compartida asignada y luego crea un hilo remoto en explorer.exe para ejecutar su código malicioso.

Al utilizar este método de inyección de malware “silencioso”, el malware puede evitar cualquier enganche que el software anti-malware pueda haber instalado en ntdll.dll, lo que aumenta las posibilidades de un ataque exitoso.

Si bien la mayoría de los productos de detección y respuesta (EDR) y de próxima generación antivirus ya monitorean las funciones de Windows en modo de usuario, las funciones del kernel no se pueden monitorear en Windows 10, donde el espacio del kernel aún está protegido.

Para asegurar una detección exitosa, se debe emplear un análisis de memoria eficiente.

Sígueme en Twitter

Sé el primero en comentar

Dejar una contestacion