{"id":2304,"date":"2014-01-28T14:58:40","date_gmt":"2014-01-28T14:58:40","guid":{"rendered":"http:\/\/kasperskydaily.com\/spain\/?p=2304"},"modified":"2020-02-26T17:21:38","modified_gmt":"2020-02-26T15:21:38","slug":"malware-pos-y-raspadores-de-ram","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/malware-pos-y-raspadores-de-ram\/2304\/","title":{"rendered":"Malware POS y raspadores de RAM"},"content":{"rendered":"

Al final del a\u00f1o pasado, la cadena estadounidense de grandes almacenes \u201cTarget\u201d fue \u00a0v\u00edctima de un ataque inform\u00e1tico realmente importante<\/a>, el cual acarre\u00f3 la p\u00e9rdida de datos de millones de clientes. Aunque esta compa\u00f1\u00eda no sea conocida en Espa\u00f1a, esta campa\u00f1a maliciosa ha supuesto un acontecimiento muy grave y merece la pena profundizar en el tema. Durante un mes, los cibercriminales robaron los n\u00fameros de tarjetas de cr\u00e9dito de 40 millones de clientes, m\u00e1s informaci\u00f3n personal de otros 70 millones. El problema surgi\u00f3 justo en la temporada de compras m\u00e1s intensa, durante el mes antes de Navidad, afectando pr\u00e1cticamente a todas las tiendas\u00a0 del pa\u00eds.<\/p>\n

Quiz\u00e1s pens\u00e9is que, para este gran golpe y el robo de semejante cantidad de informaci\u00f3n, fue necesario un plan bien ideado que comprometiese los procesos de pago o los servidores corporativos. Curiosamente, no fue \u00e9ste el caso.<\/p>\n

De hecho, ni el procesador de pago ni el sistema en s\u00ed mismo tuvieron que ver con este ataque. Los delincuentes utilizaron un tipo de malware, llamado \u201cmalware point-of-sale\u201d (malware en el punto de venta) que afecta a los lectores de tarjetas de cr\u00e9dito y a las cajas registradoras.<\/p>\n

Aunque los hackers consiguieron acceder a los servidores corporativos de Target, la informaci\u00f3n de las tarjetas se almacena de forma cifrada<\/a>. En cambio, existe un peque\u00f1o periodo de tiempo durante el cual los datos permanecen en formato no cifrado para poder realizar las autorizaciones de pago. En ese momento, la caja registradora guarda dichos datos en formato texto plano en una memoria RAM.<\/p>\n

Es aqu\u00ed donde act\u00faa el malware POS; \u00e9ste \u00a0accede a la informaci\u00f3n RAM no cifrada para robar los \u00a0n\u00fameros de tarjetas de cr\u00e9dito, nombres de usuarios, direcciones, c\u00f3digos de seguridad y otros detalles de pago importantes. \u00a0Este malware, conocido como \u201cRaspadores de RAM<\/a>\u201d (RAM scrapers) son muy populares desde hace ya seis a\u00f1os.<\/p>\n

El malware POS accede a la informaci\u00f3n RAM no cifrada para robar los n\u00fameros de tarjetas de cr\u00e9dito, nombres de usuarios, direcciones, c\u00f3digos de seguridad y otros detalles de pago importantes.<\/div>\n

En el caso de Target, es muy probable que los cibercriminales hayan transferido el programa malicioso desde un servidor central a los TPV donde tienen lugar las autorizaciones de pago. Si no hubiera sido as\u00ed, hubieran tenido que instalar el raspador de RAM en el TPV de cada tienda; algo pr\u00e1cticamente imposible.<\/p>\n

Un investigador de Seculert<\/a>, examinando el suceso, ha afirmado que los cibercriminales comprometieron la infraestructura TPV de Target a trav\u00e9s de un dispositivo infectado en la red corporativa. Desde ah\u00ed, instalaron una variaci\u00f3n del popular malware BlackPOS, el cual se puede adquirir f\u00e1cilmente en foros online para hackers.<\/p>\n

Seg\u00fan una alerta emitida por varias organizaciones, entre ellas el Departamento de Seguridad Nacional estadounidense, los Servicios Secretos americanos, el National Cybersecurity and Communications Integration Center, el Financial Sector Information Sharing and Analysis Center e iSIGHT Partners, es bastante sencillo encontrar este malware en Internet, donde se public\u00f3, recientemente, su c\u00f3digo fuente.<\/p>\n

De todas formas, BlackPOS no es el \u00fanico malware POS \u00a0y la cadena de tiendas estadounidense no ha sido el \u00fanico objetivo de esta amenaza.\u00a0 De hecho, las compa\u00f1\u00edas Nieman Marcus y Michael\u2019s han declarado haber sido v\u00edctimas de un ataque parecido. Algunos expertos han sugerido que los tres ataques est\u00e1n relacionados entre s\u00ed, pero, por ahora, no hay pruebas que lo demuestren.<\/p>\n

Las organizaciones<\/a>, mencionadas anteriormente, advierten que el malware POS crecer\u00e1 significativamente en un \u00a0futuro no muy lejano. Algunos de los ejemplares nuevos ser\u00e1n modificaciones de \u00a0troyanos bancarios como Zeus<\/a>. As\u00ed, una vez que las autoridades sean capaces de identificar f\u00e1cilmente el malware POS, los desarrolladores de raspadores de RAM (al igual que hicieron otros en el pasado) crear\u00e1n programas m\u00e1s dif\u00edciles de detectar que ataquen al proceso de compra.<\/p>\n

El Departamento de Seguridad Nacional junto a otras entidades ha descubierto un aumento de anuncios (en varios idiomas) de este malware en foros de desarrolladores freelance. En pocas palabras, los cibercriminales buscan a desarrolladores freelance para que creen raspadores de RAM para ellos. \u00a0De hecho, se calcula que tenga lugar un aumento similar al del a\u00f1o 2010; cuando se pagaba por proyectos\u00a0 freelance de malware POS entre 425 y 2.500 d\u00f3lares.<\/p>\n

Adem\u00e1s, se cree que la difusi\u00f3n del malware POS se ha visto favorecida por aquellos troyanos capaces de robar credenciales bancarias que, adem\u00e1s, est\u00e1n disponibles en la Red y cuyos c\u00f3digos fuente son f\u00e1cilmente modificables para ejecutar operaciones de raspado de RAM.<\/p>\n

\u201cEstos c\u00f3digos fuente representan un punto de partida importante para los que no saben crear un malware desde cero, o para los que buscan un esquema base que optimizar\u201d, afirman las organizaciones de seguridad nacional. \u201cUna situaci\u00f3n de este tipo lleva a la creaci\u00f3n de m\u00e1s malware POS, los cuales se vender\u00e1n a precios accesibles para m\u00e1s usuarios\u201d.<\/p>\n

Al principio un ataque nuevo es dif\u00edcil de ejecutar y de replicar. Pero, con el tiempo, \u00a0se vuelven m\u00e1s f\u00e1ciles, permitiendo a los hackers menos experimentados adquirir las habilidades necesarias para llevar a cabo dicho ataque. Adem\u00e1s, los cibercriminales con m\u00e1s experiencia suelen desarrollar kits\u00a0 sencillos que abren las puertas del cibercrimen a cualquiera que disponga de un teclado y malas intenciones.<\/p>\n

Es cierto que no existen muchas soluciones a este problema. No podemos entrar en una fruter\u00eda y sustituir todos los equipos Windows XP por otros nuevos con sistemas operativos m\u00e1s seguros. Incluso, no est\u00e1 en nuestras manos que el propietario del comercio se tome en serio la seguridad TI.<\/p>\n

Todav\u00eda quedan muchas vulnerabilidades por descubrir. Un gran n\u00famero de compa\u00f1\u00edas desconocen que han ca\u00eddo v\u00edctimas del cibercrimen o prefieren mantenerlo en secreto.\u00a0En el caso de Target, el problema se detect\u00f3 bastante r\u00e1pido y la empresa ha sabido salir airosa de la situaci\u00f3n. \u00a0Muchos bancos han publicado en sus p\u00e1ginas web un aviso al respecto; animando a sus clientes a vigilar los movimientos de sus cuentas y a reemplazar las tarjetas potencialmente comprometidas. Por ahora, todo lo que podemos hacer los usuarios es mantenernos informados, controlar nuestro extracto bancario y pedir una tarjeta de cr\u00e9dito nueva en caso de detectar alg\u00fan problema.<\/p>\n","protected":false},"excerpt":{"rendered":"

Al final del a\u00f1o pasado, la cadena estadounidense de grandes almacenes \u201cTarget\u201d fue v\u00edctima de un ataque inform\u00e1tico realmente importante, que acarre\u00f3 la p\u00e9rdida de datos pertenecientes a millones de clientes. Aunque esta compa\u00f1\u00eda no sea conocida en Espa\u00f1a, esta campa\u00f1a maliciosa ha supuesto un acontecimiento muy grave y merece la pena profundizar en el tema. \u00bfQuer\u00e9is saber m\u00e1s?<\/p>\n","protected":false},"author":42,"featured_media":2305,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[22,648,348],"class_list":{"0":"post-2304","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-malware-2","9":"tag-raspadores-ram","10":"tag-tpv"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/malware-pos-y-raspadores-de-ram\/2304\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/malware-2\/","name":"malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/2304","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=2304"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/2304\/revisions"}],"predecessor-version":[{"id":21516,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/2304\/revisions\/21516"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/2305"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=2304"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=2304"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=2304"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}