LockPoS evoluciona para ser indetectable

LockPoS es un malware para TPV, o PoS (point of sales), que roba datos de tarjetas de crédito de la memoria del ordenador conectados a escáneres de tarjetas de crédito de los TPVs. LockPos funciona leyendo la memoria de los procesos que se están ejecutando en el sistema, buscando datos que se parecen a la información de la tarjeta de crédito y luego los envía al servidor de comando y control, C&C. LockPoS se distribuye desde la misma botnet utilizada para distribuir Flokibot PoS y el código tiene algunas similitudes.

También puedes leer... Spectre Meltdown Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Así lo han explicado investigadores de Cyberbit, que definen como “alarmante” la evolución del malware al informar que ahora incorpora una nueva técnica de inyección de malware directamente en el kernel; un método “silencioso” para superar los antivirus tradicionales

LockPoS llega a través de la misma botnet que está distribuyendo Flokibot PoS, que cuenta con una técnica de inyección similar a la ahora detectar en LockPoS salvo porque utiliza diferentes llamadas a API y en general es más avanzada.

Una de las técnicas de inyección empleadas por LockPoS implica crear un objeto de sección en el kernel, llamando a una función para mapear una vista de esa sección en otro proceso, luego copiar código en la sección y crear un hilo remoto para ejecutar el código asignado, dice Cyberbit. .
Se ha observado a LockPoS utilizando tres rutinas principales para inyectar código en un proceso remoto, concretamente NtCreateSection, NtMapViewOfSection y NtCreateThreadEx, las tres exportadas desde ntdll.dll, un archivo de biblioteca de enlace dinámico (DLL) en el sistema operativo Windows.