Visa, el procesador de pagos multinacional y proveedor de servicios financieros, ha compartido detalles de las infecciones de malware en POS que afectan a dos comerciantes hoteleros norteamericanos no identificados. En los ataques que tuvieron lugar en mayo y junio de 2020, respectivamente, los ciberdelincuentes se han dirigido a los terminales de punto de venta (POS) de los comerciantes en un esfuerzo por recolectar y exfiltrar los datos de las tarjetas de pago.
Según el informe, el equipo de Disrupción por Fraude de Pago de Visa atribuyó el primer ataque a una familia de malware conocida como TinyPOS, mientras que el segundo incidente involucró una combinación de malware, a saber, RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS.
En el primer caso, los piratas informáticos obtuvieron acceso a la red del comerciante a través de una campaña de phishing dirigida a los empleados de la empresa. Los intrusos comprometieron cuentas de usuario legítimas, incluida una cuenta de administrador, y utilizaron ese acceso para colarse en el entorno de datos del titular de la tarjeta (CDE) dentro de la red del comerciante.
“Una vez que se estableció el acceso al CDE, los actores implementaron un raspador de memoria para recolectar los datos de las cuentas de pago de las pistas 1 y 2, y luego usaron un script por lotes para implementar masivamente el malware en la red del comerciante para apuntar a varias ubicaciones y sus respectivos entornos POS. . El raspador de memoria recopiló los datos de la tarjeta de pago y los envió a un archivo de registro. En el momento del análisis, no había funciones de red o de exfiltración dentro de la muestra. Por lo tanto, los actores probablemente eliminarían el archivo de registro de salida de la red utilizando otros medios ”, dijo el informe.
En el segundo ataque, los actores de la amenaza utilizaron varias variantes de malware POS, incluidos RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS. Al igual que el ataque mencionado anteriormente, el malware POS apuntó a los datos de la cuenta de pago de la pista 1 y la pista 2.
Los expertos creen que los atacantes utilizaron varias herramientas de acceso remoto y volcadores de credenciales para piratear la red de la empresa, moverse lateralmente e instalar malware. El informe no dijo qué herramientas de piratería se implementaron en esta campaña.
%2014.04.55.png)
