Malware pos punky seguridad informatica

1
Instituto internacional de seguridad cibernética
MALWARE POS PUNKY Seguridad informática
2
Que es malware Punky
El llamado malware "Punky" - el nombre de los 80
Estados Unidos sitcom Punky Brewster - se esconde
en el proceso de explorador de Windows OS, el
escaneo de otros procesos en una máquina
infectada para los datos de la tarjeta, que
posteriormente envía a un servidor remoto. El
malware POS, comprueba periódicamente con el
servidor C C para ver si hay cambios a su
propio código o nuevos programas a ejecutar,
Según Trustwave señalan expertos de seguridad
informática en México. También incluye un
keylogger diseñado para recoger 200 caracteres a
la vez antes de cifrar y enviar los datos a un
servidor C C, permitiendo a los atacantes para
capturar nombres de usuario, contraseñas y otra
información importante que podría ayudarlos.
3
Que es malware Punky
La primera etapa de Punky es un inyector que
contiene un binario ofuscado que se decodifica
para inyectar en otro proceso. El inyector
obtiene un identificador para el proceso de
explorador, realiza las funciones necesarias para
inyectar un binario en otro proceso y escribe el
archivo en su espacio de proceso. Si el argumento
"-s" no estaba prevista en el inicio,
GetModuleFileName se utiliza para obtener la ruta
para el malware actual, y se agrega al proceso de
inyectado. El proceso de inyectado se puso en
marcha a continuación, utilizando
CreateRemoteThread y inyector termina según
investigadores de seguridad informática en México.
4
Impacto de malware Punky
El inyector se copia de su lugar
USERPROFILE\Local Settings\Application
Data\jusched\jusched.exe La persistencia se
estableció mediante la adición de "USERPROFILE\L
ocal Settings\Application Data\jusched\jusched.exe
s" to HKCU\Software\Microsoft\Windows\CurrentVer
sion\Run key Se elimina el inyector original.
Punky también tiene un recurso incrustado que
escribe en el una DLL de 32 bits que exporta dos
funciones para instalar y desinstalar windows
hooks para interceptar pulsaciones de tecla.
Pueden aprender mas sobre el malware en escuela
de Hacking Ético en México
5
Como trabaja malware Punky
Ahora que el entorno está configurado, Punky
puede ir al grano. Una solicitud POST se hace a
un servidor C C. Una lista incrustado de C C
dominios y / o direcciones IP se ponen en
contacto a su vez, hasta que se establezcan
comunicaciones exitosas. Antes de comenzar el
proceso de escaneado, Punky envía una solicitud
POST al servidor C C. unkey tiene su propio
algoritmo de CHD-caza (lo que significa que no
utiliza expresiones regulares), y cualquier CHD
potencial se comprueba mediante el algoritmo Luhn
para su validez. Si las comprobaciones pasan, a
continuación, los datos se cifran y se envía al
servidor. El hilo se repite continuamente a
través de los procesos en busca de más CHD dicen
expertos de Hacking Ético.
6
Como trabaja malware Punky
Un segundo hilo se genera que los mangos de la
descarga de cargas arbitrarias desde el servidor
C C, así como, la comprobación de
actualizaciones a Punky sí. Esto da Punky la
posibilidad de ejecutar las herramientas
adicionales en el sistema, como la ejecución de
herramientas de reconocimiento adicionales o
realizar una escalada de privilegios. Esta es una
característica poco común para POS malware. En el
momento empresas de seguridad en la nube en
México como iicybersecurity están trabajando con
empresas de computación en la nube para asegurar
servidores qu etal vez esten corriendo servidores
de C C.
7
CONTACTO
www.iicybersecurity.com

• 538 Homero 303Polanco, México D.F
  11570 MéxicoMéxico Tel (55) 9183-5420633
  West Germantown Pike 272Plymouth Meeting, PA
  19462 United States Sixth Floor, Aggarwal
  Cyber Tower 1Netaji Subhash Place, Delhi NCR,
  110034IndiaIndia Tel 91 11 4556 6845