El investigador de Trend Micro, Anthony Joe Melgarejo, dice que el sofisticado kit de exploits conocido como Angler, popular en el cibercrimen, ahora está enfocado a sistemas punto de venta (PoS, por sus siglas en inglés).

Parece ser la primera vez que un kit de exploits incluye PoS en su lista de plataformas vulnerables, ubicándolos junto con Adobe Flash, Reader, Java e Internet Explorer como objetivos fáciles, según los criminales.

Melgarejo dice que Angler suele establecer una red en estado de espera por medio de una campaña de malvertising (anuncios publicitarios maliciosos) enfocada a terminales web de punto de venta y a distribuidores, incluyendo a Verifone.

"El troyano de reconocimiento PoS (Troj_Recoload.a) revisa múltiples condiciones en el sistema infectado, por ejemplo si es una máquina PoS o parte de una red PoS", dice Melgarejo. "Después procede a descargar malware específico dependiendo de las condiciones encontradas".

Angler explota dos vulnerabilidades de Adobe Flash (CVE-2015-0336, CVE-2015-3104) antes de dejar el troyano Recoload.A.

Melgarejo dice que Angler usa algunos trucos antianálisis para detener su ejecución en presencia de hackers de sombrero blanco, tales como buscar instancias en ejecución de Wireshark, virtualización, sandboxing y nombres de usuarios utilizados comúnmente por herramientas de análisis malware conocidas.