ChannelBiz

Investigadores de la empresa de seguridad RSA han estudiado a fondo al troyano ChewBacca y han descubierto que pertenece a una familia de malware diseñado para infectar los terminales punto de venta, PoS por sus siglas en inglés, de las tiendas.

Se han detectado al menos 45 retailers afectados, a los que se ha robado información relacionada con las tarjetas de crédito y debido utilizadas por sus clientes. Las infecciones generadas por el este malware se han detectado en “diez países, incluidos Rusia, Canadá y Australia, según RSA.

A través del blog, el experto de RSA explica que ChewBacca utiliza dos mecanismos de robo de datos distintos: por un lado es un keylogger –graba todas las teclas que se pulsan, y por otro un escáner de memoria diseñado específicamente para utilizarse en los sistemas que procesan tarjetas de crédito

Una vez instalado, el malware ChewBacca monitoriza la memoria de los procesos y controles de funcionamiento y comprueba los datos relacionados con las tarjetas. A este tipo de malware se le denomina RAM scrapper, que es precisamente el que se ha utilizado en el robo de más de 40 millones de datos de tarjetas a Target, y más de un millón de cuentas a Neiman Marcus.

En el blog también se explica que la comunicación se gestiona a través de una red TOR, lo que ofusca la dirección IP del servidor de comando y control (C&C), cifra el tráfico, y evita la detección a nivel de red.

Los ataques contra Target, un importante retailer de Estados Unidos, han abierto los ojos del peligro que acecha a los terminales puntos de venta. Y es que aunque los detalles de las tarjetas se cifran cuando se almacenan y se envían, la información es descifrada en la memoria de dichos terminales, lo que permite a los programas que acceden a dicha memoria superar las medidas de seguridad.

ChewBacca podría haber estado operando desde octubre de 2013, ha dicho RSA. Parece que el malware sólo ha sido utilizado por un único grupo, que podría estar localizado en Ucrania, y que ha pillado a los retailers con la guardia baja.

Hay que destacar que normalmente los terminales punto de venta suelen ser ordenadores, y que es probable que muchos de ellos utilicen sistemas operativos sin parchear, primer paso para reducir los riesgos de seguridad. El malware ChewBacca no es excesivamente sofisticado y no cuenta con medidas defensivas básica que lo escondan de un análisis, lo que no ha impedido que esté funcionando desde hace meses.