Después de un robo masivo de datos a empresas minoristas en EUA Target y Neiman Marcus, cuyas bases de datos de credenciales financieras de más de 110 millones y 1.1 millones de clientes respectivamente fueron comprometidos, se muestra que el sistema de puntos de venta (POS) se ha convertido en un nuevo blanco para los cibercriminales.

A pesar de que el malware para terminales y sistemas de puntos de venta BlackPOS ha sido el mayor causante de este robo de datos, los autores de malware están actualizando y desarrollando más troyanos para atacar los sistemas POS.

En diciembre, los investigadores de seguridad de la firma antivirus Kaspersky Lab descubrieron un troyano bancario basado en Tor conocido como "Chewbacca", inicialmente fue clasificado como un troyano financiero, pero recientemente los investigadores de seguridad en RSA han descubierto que Chewbacca también es capaz de robar detalles de tarjetas de crédito de los sistemas de punto de venta.

Chewbacca, un troyano privado relativamente nuevo, empleado en 11 países como un malware para POS que está detrás del robo electrónico. ChewBacca se comunica con su servidor C&C (Comando y Control) sobre la red de Tor ocultando las partes de la dirección IP.

Chewbacca roba datos de los sistemas de POS de dos formas:

• Keylogger genérico que captura todo lo tecleado.
• Escaner de memoria que lee los procesos en memoria y volca los detalles de las tarjetas de crédito.

La botnet ha recolectado datos de pago por ambos procesos desde octubre 25, de acuerdo con RSA.

Durante la instalación, ChewBacca crea una copia de sí mismo como un archivo llamado spoolsv.exe y se coloca en la carpeta de inicio de Windows, por lo que puede iniciarse automáticamente al iniciar sesión.

Después de la instalación, el keylogger crea un archivo llamado system.log dentro de la carpeta system%temp% que contiene los eventos de tecleo junto con los cambios de enfoque de ventana.

"El troyano Chewbacca parece ser una simple pieza de malware, pero a pesar de su falta de sofisticación y mecanismos de defensa, triunfa al robar información de pagos de tarjetas de una docena de proveedores alrededor del mundo en un poco más de dos meses".

Tampoco RSA o las descripciones de Kaspersky explican cómo se propaga Chewbacca, pero la investigación de RSA lo ha localizado mayoritariamente en EUA y también en otros 10 países, incluyendo a Rusia, Canadá y Australia.

RSA ha proporcionado datos al FBI sobre la operación Chewbacca, incluyendo la ubicación de un servidor C&C usado por los hackers.

Avisaron a los proveedores que eleven la cantidad de empleados y desarrollen capacidades de vanguardia para detectar y detener a los atacantes (seguimiento exhaustivo y respuesta a incicentes), cifrar o tokenizar datos en el punto de caputra y asegurarse que no se muestra como texto plano en otras redes, de este modo se desplaza el riesgo y se cuenta con protección para los emisores de las tarjetas y sus procesadores de pagos.