En días en que los ataques a sistemas de pagos parecen aumentar en popularidad, investigadores de la compañía de ciberinteligencia IntelCrawler identificaron una nueva muestra de malware que se distribuye en terminales de puntos de venta (POS), disponible para comprarse en foros clandestinos.

Empleando la interfaz Windows Management, con técnicas de evasión antivirus y recopilando información del sistema, el malware Decebal está operacionalmente basado sólo en 400 líneas funcionales de código VBScript, de acuerdo con un reporte de IntelCrawler, el cual agrega que algunas frases y cadenas de texto están escritas en rumano.

Creado por Microsoft, VBScript es un lenguaje de scripting activo basado en Visual Basic. "[Los ciber delincuentes] lo instalan en servidores comprometidos y lo enmascaran como un script de VBScript, escrito al igual que muchas herramientas y scripts para administradores de Windows" dijo Andrew Komarov, CEO en IntelCrawler, al sitio SCMagazine.com el jueves 16.

Aunque Komarov dijo que IntelCrawler sólo observó el malware en un servidor comprometido, explicó que "está absolutamente lleno de opciones para extraer pistas de RAM, como un malware de RAM-scraping [como Dexter, Alina y BlackPOS] lo hace, pero el script es muy portable y pequeño".

El malware Decebal, el cual estuvo disponible para compra desde el 3 de enero, tiene un control de mandos para recibir información de los dispositivos POS escrito en tan sólo 44 líneas de código PHP, de acuerdo con el reporte de IntelCrawler, en donde se agrega que la amenaza no fue reconocida por los escaneos de antivirus hasta el 12 de enero.

A finales de diciembre de 2013, los atacantes emplearon malware POS para robar 40 millones de tarjetas de Target y un número aún desconocido de tarjetas de Neiman Marcus. Los detalles de cada incidente aún son investigados y se desconoce si los robos están conectados.