PinkKite, una familia de malware POS de pequeño tamaño

  • Vulnerabilidades

Este malware utiliza su tamaño para evitar la detección y viene equipado con herramientas de recuperación y validación de datos. Destaca por sus mecanismos de persistencia, incluido el cifrado doble-XOR codificado.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo utilizar la Dark Web

Los investigadores han identificado a la nueva familia de malware POS llamada PinkKite, que, pese a su pequeño tamaño, puede ser una seria amenaza para los terminales de punto de venta. Los investigadores de Kroll Cyber Security identificaron por primera vez a PinkKite en 2017, en una investigación realizada sobre una gran campaña de malware POS que finalizó en diciembre.

PinkKite tiene un tamaño inferior a 6k, y al igual que otras familias de malware de pequeño tamaño, como TinyPOS, utiliza esta característica para evitar la detección. Además, viene equipado con herramientas de recuperación y validación de datos, y con sólidos mecanismos de persistencia, incluido el cifrado XOR doble codificado, utilizado en números de tarjetas de crédito.

Una vez que los datos de la tarjeta de crédito son extraídos de la memoria del sistema, PinkKite usa un algoritmo de Luhn para validar los números de las tarjetas de crédito y débito. A continuación, los datos de la tarjeta de crédito se almacenan en archivos comprimidos con nombres, como .f64, .n9 o .sha64. Esos registros pueden contener hasta 7.000 números de tarjetas de crédito cada uno y se envían periódicamente de forma manual utilizando una sesión separada de Protocolo de Escritorio Remoto (RDP) a uno de los tres centros de intercambio de información PinkKite.

Kroll no ha compartido muchos detalles respecto al grupo detrás de PinkKite, más allá de la técnica de infección utilizada para introducir el malware POS en los terminales. Según los investigadores, los hackers probablemente se infiltraron en un sistema principal y desde allí usaron PsExec para moverse lateralmente en el entorno de red de la compañía. Los hackers identificaron el Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS) y extrajeron las credenciales usando Mimikatz. Una vez que los sistemas se hayan visto comprometidos, los atacantes entrarán en acción para eliminar los datos de la tarjeta de crédito a través de la sesión de RDP.

TAGS