Análisis de malware

Malware destacado: malware en el punto de venta

noviembre 4, por Howard Poston

Introducción de malware en el punto de venta

Los sistemas de punto de venta (PoS) son los dispositivos de pago que puedes encontrar en casi cualquier tienda. Dependiendo de su nivel de sofisticación, le permiten deslizar una tarjeta de crédito, insertar una tarjeta con chip o tocar una tarjeta o un dispositivo móvil para realizar un pago.

Para verificar la legitimidad de un pago, estos dispositivos deben poder leer la información de pago de la tarjeta y conectarse a la institución financiera correspondiente a través de Internet.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Dondequiera que tenga dispositivos conectados a Internet con acceso a datos valiosos (como información de tarjetas de pago), probablemente tenga ciberdelincuentes. El malware de punto de venta está diseñado para residir en un terminal PoS, robar la información de las tarjetas de pago utilizadas en ese terminal y transmitir esos datos a un ciberdelincuente a través de Internet.

Cómo funciona el malware en el punto de venta

Como cualquier otro tipo de malware, una infección de malware en el punto de venta comienza por afianzarse en el dispositivo objetivo. Esto se puede lograr de diferentes maneras. Muchos terminales PoS son sistemas antiguos, que pueden tener vulnerabilidades conocidas y sin parches o estar usando credenciales predeterminadas. No aislar adecuadamente los sistemas PoS de las redes de socios o de la propia red interna de la organización también puede brindarle a un atacante un punto de entrada y acceso a los sistemas PoS.

Una vez instalado y ejecutándose en los dispositivos de destino, el malware de punto de venta funciona como un escáner de RAM muy simple. Si bien la información de la tarjeta de pago está protegida con cifrado de extremo a extremo mientras está en tránsito, está presente sin cifrar en la RAM del terminal PoS. El malware de punto de venta busca datos que coincidan con los formatos Track 1 o Track 2 que se utilizan en las bandas magnéticas de las tarjetas de pago. Todos los datos recopilados se filtran al ciberdelincuente a través de Internet.

Una limitación del malware para puntos de venta es que solo recopila información útil para crear tarjetas clonadas para ventas físicas. El código CVV2 utilizado para compras online no está incluido en la banda magnética. Esto limita la utilidad de los datos robados por el malware PoS y hace que alcancen un precio más bajo en el mercado negro.

La violación del objetivo

El malware en los puntos de venta es un problema constante, ya que se dirige a dispositivos que suelen ser más antiguos y reciben menos atención de seguridad que los objetivos “tradicionales”. Como resultado, muchos minoristas diferentes han sido atacados y explotados con éxito por malware en el punto de venta. Sin embargo, el incidente más famoso de un ataque de malware en un punto de venta es probablemente la infracción de Target que comenzó en noviembre de.

La infracción de Target fue relativamente breve, ya que se extendió del 15 de noviembre al 15 de diciembre de. Entre el 15 y el 28 de noviembre, los ciberdelincuentes realizaron una prueba de campo de su malware y lo cargaron en un pequeño número de cajas registradoras de Target. A finales de mes, la mayoría de las máquinas de Target estaban comprometidas y los ciberdelincuentes pudieron robar la información de las tarjetas de crédito y débito de unos 40 millones de clientes de Target.

La violación de Target fue posible gracias a un par de errores de seguridad diferentes cometidos por Target. El primero fue no poder asegurar su cadena de suministro. Target había proporcionado acceso a su red a un proveedor de HVAC, y este proveedor fue atacado y sus credenciales utilizadas para comprometer las terminales PoS de Target.

El otro fallo fue que Target no aisló su red de pagos del resto de su red interna. El proveedor de HVAC cuyas credenciales fueron robadas no tenía necesidad de acceder a los terminales de punto de venta de Target y, si estos dispositivos hubieran estado adecuadamente aislados en su propio segmento de red privada, entonces la violación de Target no habría sido posible (o al menos no tan extendida). ).

Protección contra malware en el punto de venta

El malware de punto de venta a menudo se instala en un dispositivo debido a controles de seguridad deficientes. Por ejemplo, un dispositivo puede estar conectado a una red empresarial, incluir vulnerabilidades sin parches o utilizar credenciales. Corregir estas vulnerabilidades es un paso importante en la protección contra el malware en el punto de venta.

Sin embargo, estas no son las únicas formas de protegerse contra este tipo de ataques. Las opciones incluyen la implementación de listas blancas de procesos, firma de códigos, listas blancas de dominios/IP y el uso de tarjetas con chip.

Lista blanca de procesos

Un enfoque que los minoristas pueden adoptar para proteger sus máquinas de ataques de malware en los puntos de venta es la creación de listas blancas de procesos. A diferencia de muchas máquinas, los terminales PoS tienen un conjunto muy limitado de operaciones “normales” y de procesos que legítimamente tienen una razón para ejecutarse en el dispositivo. La implementación de una lista blanca de procesos garantiza que no se puedan ejecutar programas maliciosos o no autorizados en la máquina sin ser detectados.

firma de código

Un enfoque similar para combatir el malware en el punto de venta es la firma de código. Este enfoque se utiliza con gran efecto en el ecosistema macOS, donde solo los ejecutables firmados con una clave emitida por Apple pueden ejecutarse en un dispositivo sin jailbreak. Los terminales de punto de venta pueden implementar la firma de código y solo permitir que se ejecuten en el dispositivo procesos firmados por la empresa.

Lista blanca de IP/dominio

Para poder realizar su trabajo, los terminales de punto de venta deben tener la capacidad de enviar información de pago a través de Internet para su verificación. Sin embargo, el conjunto de dominios y direcciones IP a los que se debe enviar esta información es bastante limitado. Al implementar una lista blanca de IP/dominio en el firewall de la red, una organización puede bloquear el tráfico malicioso que intenta instalar malware PoS en un dispositivo o extraer datos robados del mismo.

Tarjetas con chip

El impulso para pasar del uso de bandas magnéticas en las tarjetas al chip y al PIN tiene como objetivo mejorar la seguridad de los sistemas de pago. La información contenida en las tiras magnéticas no cambia, lo que significa que puede ser robada por malware PoS y reutilizada para futuros robos. Una tarjeta con chip envía una transacción única cada vez, por lo que los intentos de robar y reutilizar datos de la tarjeta pueden detectarse y bloquearse.

Fuentes

  1. ¿Qué es el malware de punto de venta (POS)? Cómo funciona y cómo proteger su sistema POS , Digital Guardian
  2. Malware PoS (punto de venta) , Trend Micro
  3. Los piratas informáticos de Target irrumpieron a través de la empresa HVAC , Krebs on Security