Soraya, Zeus y Dexter

malware_analysis

Arbor Networks ha descubierto una nueva familia de malware conocida como Soraya, combina técnicas de los troyanos Zeus y Dexter para robar datos de tarjetas de pago a través de puntos de venta infectados.

El equipo de respuesta a incidentes de la compañía, Security Engineering and Response Team  (ASERT) reveló en su blog que el malware descubierto recientemente ya ha robado miles de tarjetas de pago.

Habiendo logrado localizar el servidor de comando y control, después de que el atacante colocara temporalmente datos de tarjetas en un lugar de acceso público, el equipo Arbor encontró que la mayoría de las tarjetas comprometidas relacionadas con el servidor  fueron emitidas por los bancos de EUA (65% ), Canadá (11%) y Costa Rica (21%).

Los siguientes fueron Sudáfrica (0,8%), Brasil y Rusia (0,4%) y el Reino Unido, Polonia, México y Panamá (0,1%).

Soraya utiliza una técnica similar a memory scraping de Dexter, con un hilo responsable del proceso, Matthew Bing, ingeniero de investigación de Arbor lo explica en la entrada del blog.

“Esto lo hace creando el mutex POSMainMutex, para asegurarse de que es el único hilo que opera. Cada cinco segundos, el hilo recorrerá la lista de procesos con Process32Next(), ignorando los procesos del sistema con los nombres svchost.exe, dwm.exe, winlogon.exe, explorer.exe, taskhost.exe, taskeng.exe, smss.exe, MOM.exe, CCC.exe, conhost.exe y services.exe” agregó.

“Se comprobarán regiones de memoria para cada proceso con VirtualQueryEx(), ignorando los que tienen el PAGE_NOACCESS o valores PAGE_GUARD establecidos. Regiones de memoria válidas se copian con ReadProcessMemory() y se examinan los datos de tarjetas de pago”.

Soraya también utiliza de ZeuS la forma en que intercepta los datos enviados desde los navegadores web. “Soraya ha tomado claramente la inspiración de la familia Dexter y Zeus. La funcionalidad de “cerebro dividido” para aplicar memory scraping y la forma de capturar datos es el rasgo más singular de Soraya”, concluyó Bing.

“En campañas anteriores, los memory scrapers han tenido como objetivo único los puntos de venta y la forma de capturar datos ha tenido como objetivo único a usuarios de banca en línea”.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s