POSeidon nace del fuego de ZeuS para atacar a los Puntos de Venta

el

Un grupo de Investigadores del centro de soluciones de seguridad de CISCO, ha identificado una nueva raza de troyanos al que le dieron el nombre de POSeidon. De acuerdo a los investigadores, este troyano al igual que ZeuS, tiene como objetivo robar datos de tarjetas de crédito que pasen por el Punto de Venta (POS), para luego ser revendidos en el mercado negro.

POSeidon se vale de cinco componentes fundamentales, el primero de ellos es el cargador (LOADER), el cual una vez instalado busca modificar el registry de la máquina Windows, para asegurarse la persistencia en caso de un reinicio, luego busca establecer comunicación con el segundo componente: uno de los servidores conocidos como centros de control (C&C), el centro de control le dá la instrucción para descargar y ejecutar el tercer componente del troyano conocido como FINDSTR que se descarga desde un cuarto componente que actúa como servidor de archivos. El FINDSTR funciona como un keylogger que busca en la memoria del dispositivo infectado patrones de datos que puedan ser identificados como números de tarjetas de crédito, los captura y los envía al quinto componente conocido de este troyano: Un servidor que funciona como almacén de datos robados desde donde los criminales recuperan la información y proceden a venderla en el mercado negro.

¿Como nos protegemos de este troyano?

Las reglas son las mismas que para cualquier otro troyano, las personas deben mantenerse alerta ante este tipo de amenazas. No abrir anexos en correos electrónicos no solicitados, ni introducir discos ópticos o dispositivos de almacenamiento USB de fuentes desconocidas en sus computadoras. Si bien este troyano está diseñado para atacar máquinas de punto de venta, como en el caso de TARGET y THE HOME DEPOT, no sería extraño que la infección pueda verse en equipo de escritorio, aunque a la final, sería menos apetitoso para los delincuentes.

Para mitigar el ataque de este tipo de troyanos, los fabricantes de máquinas de punto de venta, deberían aplicar controles de tipo lista blanca (solidificación), para evitar que las computadoras POS ejecuten código desconocido. Igualmente deberían establecer controles de lista blanca, para evitar en caso de infección, se comuniquen con los componentes externos del troyano.

Igualmente se pueden configurar reglas en los IDS/IPS para detectar y bloquear este tipo de tráfico malicioso.

Si desean mayor detalle técnico relacionado con este troyano, no dejen de leer el articulo publicado en el blog de CISCO.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s