El proveedor de seguridad Trend Micro ha advertido de una nueva variante de malware de punto de venta (Point of Sale) diseñado para obtener y filtrar datos de tarjetas de clientes, logró permanecer sin ser detectado desde 2013.

Apodado PwnPOS para distinguirlo de las numerosas familias de malware PoS que han surgido en los últimos meses, esta variante ha sido capaz de pasar desapercibida del radar de los sistemas de detección hasta el momento "debido a su construcción sencilla pero reflexiva", según el analista de amenazas de Trend Micro Jay Yaneza.

Se compone de dos partes: un binario buscador de RAM y un binario de filtración de datos, dijo en un blog:

"Mientras que el componente buscador de RAM se mantiene constante, el componente de la filtración de datos ha experimentado varios cambios, lo que implica que hay dos, y posiblemente distintos, autores" continuó Yaneza. "El buscador RAM pasa por un proceso de la memoria y vuelca los datos en el archivo, el binario utiliza SMTP para filtrar los datos."

PwnPOS evitó su detección durante todo este tiempo debido a su capacidad de agregar o quitarse a sí mismo de la lista de servicios en una máquina objetivo sin ser completamente borrado. Esto significa que puede mantener la persistencia en una máquina víctima pareciendo benigno y, como suele suceder, espera dentro del directorio % SYSTEM$ para la próxima vez que sea invocado."

Sin embargo, aparentemente no funciona en las versiones de Windows de 64 bits o en versiones posteriores al sistema operativo Vista, que tienen el Control de cuentas de usuario (UAC) habilitado.