Investigadores de Arbor Networks han detectado una campaña activa de malware en puntos de venta (POS) utilizando el malware Dexter o variantes del mismo, el cual funciona para el robo de datos de tarjetas de crédito y débito.

"El método exacto para comprometer el dispositivo no se conoce actualmente, sin embargo, los sistemas de punto de venta sufren los mismos problemas de seguridad que cualquier otro desarrollo basado en Windows. Vulnerabilidades de red y basadas en el host (como credenciales prestablecidas o por defecto que son accesibles a través de escritorio remoto, así como redes inalámbricas abiertas que incluyen la terminal del punto de venta), el mal uso, la ingeniería social y el acceso físico a la red, son factores probables para infectarse", explicaron en un informe publicado recientemente.

Los dispositivos comprometidos se encuentran en todo el mundo, pero en la actualidad la campaña parece más generalizada en el Medio Oriente, India, Myanmar, Malasia e Indonesia.

Al mismo tiempo, los investigadores de IntelCrawler con sede en Estados Unidos descubrieron una de las primeras botnets de las que fueron objetivo los puntos de venta. Al colarse en uno de los servidores C&C de la botnet, descubrieron que sigue en funcionamiento, que ha existido desde hace por lo menos medio año y que ha capturado información sobre más de 20 mil tarjetas de crédito y débito desde agosto.

El malware utilizado para controlar las terminales de punto de venta dentro de la botnet es Stardust, una variante más eficaz y nueva de Dexter.

Es capaz de obtener datos de la tarjeta de 2 formas, almacenar datos confidenciales en los dispositivos y enviarlos (en formato cifrado) a servidores remotos. De acuerdo a la información que los investigadores comparten con Ars Technica, el malware transmite estos datos sólo cuando nadie está utilizando el punto de venta (el protector de pantalla debe estar activado).

Al analizar el servidor de control, los investigadores encontraron que la mayoría de los bots se encuentran en dispositivos utilizados por los minoristas y en restaurantes de Estados Unidos. A través de la interfaz, los botmasters son capaces de enviar comandos a cada bot  para observar la actividad de la máquina.

El propio servidor y su sistema de copia de seguridad se encuentra en Moscú y San Petersburgo. El director ejecutivo de IntelCrawler, Andrey Komarov, dijo que los criminales detrás del esquema son  parte del grupo cibernético apodado SharkMoney.CC.

Una vez más, no se sabe cómo los dispositivos de punto de venta fueron infectados con el malware.