El malware TrickBot ahora recopila datos de terminales punto de venta
- Endpoint
El nuevo módulo, psfin32, está diseñado específicamente para encontrar servicios y tecnologías de POS en dominios infectados. Esto es especialmente preocupante para las empresas de retail, considerando la proximidad de la temporada de ventas navideña.
También puedes leer... |
Investigadores de seguridad de Trend Micro han observado que el malware TrickBot utiliza una nueva capacidad: la recopilación de datos en el punto de venta (POS). El reciente módulo de captura de contraseñas pwgrab32 de la nueva variante de TrickBot busca indicios de que los dispositivos infectados están conectados a servicios y máquinas compatibles con POS. Si bien el malware recopila datos sobre el tipo y la distribución de los sistemas POS, en el momento en que Trend Micro informó de ello, TrickBot aún no estaba capturando información bancaria o de tarjetas de crédito.
El nuevo módulo, psfin32, está diseñado específicamente para encontrar servicios y tecnologías de POS en dominios infectados. Al utilizar consultas de Protocolo Ligero de Acceso a Directorios (LDAP) para aprovechar Directorio Activo (AD), el módulo busca máquinas POS en el catálogo global con una variedad de subcadenas, que incluyen "POS", "CASH", "LANE" y "RETAIL". Si aparece vacío, el malware busca cadenas de " AccountName" utilizadas por versiones heredadas de Windows, como NT 4.0 y Windows 95. Una vez que tiene datos de POS en la mano, el troyano crea un archivo de registro preconfigurado y lo envía a los servidores de comando y control (C&C) utilizando conexiones POST.
Como señala Trend Micro, TrickBot no llega a la recopilación completa de datos, lo que podría indicar que los actores de amenazas están realizando un reconocimiento para la preparación de un ataque a gran escala, que se ajusta al patrón de malware de TrickBot de rápido desarrollo y distribución de código seguido de ataques iterativos. Esto es particularmente preocupante para las empresas retail, considerando la proximidad de la temporada de ventas navideña.
La velocidad de desarrollo de TrickBot también es preocupante para las compañías que buscan mantenerse a la vanguardia de las amenazas de seguridad. Su módulo de captura de contraseñas se detectó a principios de noviembre, y en tres semanas surgió la nueva variante de POS.