Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información

LockPoS evoluciona para ser indetectable

  • Vulnerabilidades

seguridad ataque malware

Investigadores de Cyberbit han descubierto una nueva técnica de inyección de malware que está utilizando LockPoS y que parece ser una variante de la utilizada por Flokibot.

LockPoS es un malware para TPV, o PoS (point of sales), que roba datos de tarjetas de crédito de la memoria del ordenador conectados a escáneres de tarjetas de crédito de los TPVs. LockPos funciona leyendo la memoria de los procesos que se están ejecutando en el sistema, buscando datos que se parecen a la información de la tarjeta de crédito y luego los envía al servidor de comando y control, C&C. LockPoS se distribuye desde la misma botnet utilizada para distribuir Flokibot PoS y el código tiene algunas similitudes.

También puedes leer...

Spectre

Meltdown

Los cinco grandes mitos de las Brechas de Seguridad

Consideraciones para la creación de un SOC

Cómo utilizar la Dark Web para la inteligenciad de amenazas

Así lo han explicado investigadores de Cyberbit, que definen como “alarmante” la evolución del malware al informar que ahora incorpora una nueva técnica de inyección de malware directamente en el kernel; un método “silencioso” para superar los antivirus tradicionales

LockPoS llega a través de la misma botnet que está distribuyendo Flokibot PoS, que cuenta con una técnica de inyección similar a la ahora detectar en LockPoS salvo porque utiliza diferentes llamadas a API y en general es más avanzada.

Una de las técnicas de inyección empleadas por LockPoS implica crear un objeto de sección en el kernel, llamando a una función para mapear una vista de esa sección en otro proceso, luego copiar código en la sección y crear un hilo remoto para ejecutar el código asignado, dice Cyberbit. .
Se ha observado a LockPoS utilizando tres rutinas principales para inyectar código en un proceso remoto, concretamente NtCreateSection, NtMapViewOfSection y NtCreateThreadEx, las tres exportadas desde ntdll.dll, un archivo de biblioteca de enlace dinámico (DLL) en el sistema operativo Windows.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos