Instituto internacional de seguridad cibernética

MALWARE POS PUNKYSeguridad informática

El llamado malware "Punky" - el nombre de los 80 Estados Unidos sitcom Punky Brewster - se esconde en el proceso de explorador de Windows OS, el escaneo de otros procesos en una máquina infectada para los datos de la tarjeta, que posteriormente envía a un servidor remoto.El malware POS, comprueba periódicamente con el servidor C & C para ver si hay cambios a su propio código o nuevos programas a ejecutar, Según Trustwave señalan expertos de seguridad informática en México.También incluye un keylogger diseñado para recoger 200 caracteres a la vez antes de cifrar y enviar los datos a un servidor C & C, permitiendo a los atacantes para capturar nombres de usuario, contraseñas y otra información importante que podría ayudarlos.

Que es malware Punky

La primera etapa de Punky es un inyector que contiene un binario ofuscado que se decodifica para inyectar en otro proceso. El inyector obtiene un identificador para el proceso de explorador, realiza las funciones necesarias para inyectar un binario en otro proceso y escribe el archivo en su espacio de proceso. Si el argumento "-s" no estaba prevista en el inicio, GetModuleFileName se utiliza para obtener la ruta para el malware actual, y se agrega al proceso de inyectado. El proceso de inyectado se puso en marcha a continuación, utilizando CreateRemoteThread y inyector termina según investigadores de seguridad informática en México.

Que es malware Punky

El inyector se copia de su lugar %USERPROFILE%\Local Settings\Application Data\jusched\jusched.exe La persistencia se estableció mediante la adición de"%USERPROFILE%\Local Settings\Application Data\jusched\jusched.exe –s" to HKCU\Software\Microsoft\Windows\CurrentVersion\Run key

Se elimina el inyector original. Punky también tiene un recurso incrustado que escribe en el una DLL de 32 bits que exporta dos funciones para instalar y desinstalar windows hooks para interceptar pulsaciones de tecla. Pueden aprender mas sobre el malware en escuela de Hacking Ético en México

Impacto de malware Punky

Ahora que el entorno está configurado, Punky puede ir al grano. Una solicitud POST se hace a un servidor C & C. Una lista incrustado de C & C dominios y / o direcciones IP se ponen en contacto a su vez, hasta que se establezcan comunicaciones exitosas. Antes de comenzar el proceso de escaneado, Punky envía una solicitud POST al servidor C & C. unkey tiene su propio algoritmo de CHD-caza (lo que significa que no utiliza expresiones regulares), y cualquier CHD potencial se comprueba mediante el algoritmo Luhn para su validez. Si las comprobaciones pasan, a continuación, los datos se cifran y se envía al servidor. El hilo se repite continuamente a través de los procesos en busca de más CHD dicen expertos de Hacking Ético.

Como trabaja malware Punky

Un segundo hilo se genera que los mangos de la descarga de cargas arbitrarias desde el servidor C & C, así como, la comprobación de actualizaciones a Punky sí. Esto da Punky la posibilidad de ejecutar las herramientas adicionales en el sistema, como la ejecución de herramientas de reconocimiento adicionales o realizar una escalada de privilegios. Esta es una característica poco común para POS malware. En el momento empresas de seguridad en la nube en México como iicybersecurity están trabajando con empresas de computación en la nube para asegurar servidores qu etal vez esten corriendo servidores de C& C.

Como trabaja malware Punky

CONTACTO www.iicybersecurity.com

538 Homero # 303Polanco, México D.F 11570 

MéxicoMéxico Tel: (55) 9183-5420

633 West Germantown Pike #272Plymouth Meeting, PA 19462 

United States 

Sixth Floor, Aggarwal Cyber Tower 1Netaji Subhash Place, Delhi NCR, 110034

IndiaIndia Tel: +91 11 4556 6845