Instituto internacional de seguridad cibernética MALWARE POS PUNKY Seguridad informática
Que es malware Punky
El llamado malware "Punky" - el nombre de los 80 Estados Unidos sitcom Punky Brewster - se esconde en el proceso de explorador de Windows OS, el escaneo de otros procesos en una máquina infectada para los datos de la tarjeta, que posteriormente envía a un servidor remoto. El malware POS, comprueba periódicamente con el servidor C & C para ver si hay cambios a su propio código o nuevos programas a ejecutar, Según Trustwave señalan expertos de seguridad informática en México. También incluye un keylogger diseñado para recoger 200 caracteres a la vez antes de cifrar y enviar los datos a un servidor C & C, permitiendo a los atacantes para capturar nombres de usuario, contraseñas y otra información importante que podría ayudarlos.
Que es malware Punky La primera etapa de Punky es un inyector que contiene un binario ofuscado que se decodifica para inyectar en otro proceso. El inyector obtiene un identificador para el proceso de explorador, realiza las funciones necesarias para inyectar un binario en otro proceso y escribe el archivo en su espacio de proceso. Si el argumento "-s" no estaba prevista en el inicio, GetModuleFileName se utiliza para obtener la ruta para el malware actual, y se agrega al proceso de inyectado. El proceso de inyectado se puso en marcha a continuación, utilizando CreateRemoteThread y inyector termina según investigadores de seguridad informática en México.
Impacto de malware Punky El inyector se copia de su lugar %USERPROFILE%\Local Settings\Application Data\jusched\jusched.exe La persistencia se estableció mediante la adición de "%USERPROFILE%\Local Settings\Application Data\jusched\jusched.exe –s" to HKCU\Software\Microsoft\Windows\CurrentVersion\Run key Se elimina el inyector original. Punky también tiene un recurso incrustado que escribe en el una DLL de 32 bits que exporta dos funciones para instalar y desinstalar windows hooks para interceptar pulsaciones de tecla. Pueden aprender mas sobre el malware en escuela de Hacking Ético en México
Como trabaja malware Punky Ahora que el entorno está configurado, Punky puede ir al grano. Una solicitud POST se hace a un servidor C & C. Una lista incrustado de C & C dominios y / o direcciones IP se ponen en contacto a su vez, hasta que se establezcan comunicaciones exitosas. Antes de comenzar el proceso de escaneado, Punky envía una solicitud POST al servidor C & C. unkey tiene su propio algoritmo de CHD-caza (lo que significa que no utiliza expresiones regulares), y cualquier CHD potencial se comprueba mediante el algoritmo Luhn para su validez. Si las comprobaciones pasan, a continuación, los datos se cifran y se envía al servidor. El hilo se repite continuamente a través de los procesos en busca de más CHD dicen expertos de Hacking Ético.
Como trabaja malware Punky Un segundo hilo se genera que los mangos de la descarga de cargas arbitrarias desde el servidor C & C, así como, la comprobación de actualizaciones a Punky sí. Esto da Punky la posibilidad de ejecutar las herramientas adicionales en el sistema, como la ejecución de herramientas de reconocimiento adicionales o realizar una escalada de privilegios. Esta es una característica poco común para POS malware. En el momento empresas de seguridad en la nube en México como iicybersecurity están trabajando con empresas de computación en la nube para asegurar servidores qu etal vez esten corriendo servidores de C& C.
CONTACTO
www.iicybersecurity.com
538 Homero # 303 Polanco, México D.F 11570 México México Tel: (55) 9183-5420 633 West Germantown Pike #272 Plymouth Meeting, PA 19462 United States Sixth Floor, Aggarwal Cyber Tower 1 Netaji Subhash Place, Delhi NCR, 110034 India India Tel: +91 11 4556 6845