Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Malware Soraya combina características de Zeus y Dexter para capturar datos de tarjetas
Arbor Networks ha descubierto una nueva familia de malware conocida como Soraya, combina técnicas de los troyanos Zeus y Dexter para robar datos de tarjetas de pago a través de puntos de venta infectados.
El equipo de respuesta a incidentes de la compañía, Security Engineering and Response Team (ASERT) reveló en su blog que el malware descubierto recientemente ya ha robado miles de tarjetas de pago.
Habiendo logrado localizar el servidor de comando y control, después de que el atacante colocara temporalmente datos de tarjetas en un lugar de acceso público, el equipo Arbor encontró que la mayoría de las tarjetas comprometidas relacionadas con el servidor fueron emitidas por los bancos de EUA (65% ), Canadá (11%) y Costa Rica (21%).
Los siguientes fueron Sudáfrica (0,8%), Brasil y Rusia (0,4%) y el Reino Unido, Polonia, México y Panamá (0,1%).
Soraya utiliza una técnica similar a memory scraping de Dexter, con un hilo responsable del proceso, Matthew Bing, ingeniero de investigación de Arbor lo explica en la entrada del blog.
"Esto lo hace creando el mutex POSMainMutex, para asegurarse de que es el único hilo que opera. Cada cinco segundos, el hilo recorrerá la lista de procesos con Process32Next(), ignorando los procesos del sistema con los nombres svchost.exe, dwm.exe, winlogon.exe, explorer.exe, taskhost.exe, taskeng.exe, smss.exe, MOM.exe, CCC.exe, conhost.exe y services.exe" agregó.
"Se comprobarán regiones de memoria para cada proceso con VirtualQueryEx(), ignorando los que tienen el PAGE_NOACCESS o valores PAGE_GUARD establecidos. Regiones de memoria válidas se copian con ReadProcessMemory() y se examinan los datos de tarjetas de pago".
Soraya también utiliza de ZeuS la forma en que intercepta los datos enviados desde los navegadores web. "Soraya ha tomado claramente la inspiración de la familia Dexter y Zeus. La funcionalidad de "cerebro dividido" para aplicar memory scraping y la forma de capturar datos es el rasgo más singular de Soraya", concluyó Bing.
"En campañas anteriores, los memory scrapers han tenido como objetivo único los puntos de venta y la forma de capturar datos ha tenido como objetivo único a usuarios de banca en línea".
