Troyano que se vende en foros del mercado negro por 280 $, roba datos de tarjetas de crédito de software para recepción en hoteles

Un caballo de Troya de acceso remoto (Remote Access Troyan, RAT) que tiene como objetivo los puntos de venta para hoteles está siendo promocionado y vendido en foros clandestinos.

Investigadores encontraron un anuncio en un foro del mercado negro sobre una aplicación RAT diseñada para infectar equipos de cómputo de los equipos de recepción en un hotel y robar las tarjetas de crédito así como información sobre la facturación. El vendedor estaba ofreciendo un Troyano junto con instrucciones sobre cómo engañar a los gerentes de recepción para instalar su aplicación, todo esto por $280 USD. El vendedor también afirmaba que el software malicioso no podía ser detectado por programas antivirus cuando se entregaba al comprador.

Los autores de códigos maliciosos generalmente re-empaquetan sus instaladores maliciosos con nuevos algoritmos para evadir la detección de firmas antivirus, dijo Bogdan Botezatu, analista de amenazas cibernéticas sénior en la compañía antivirus BitDefender. Las muestras re-empaquetadas pueden ser enviadas por correo electrónico o mensajes instantáneos sin ser detenidos en el perímetro de la red. Sin embargo, si el software antivirus cuenta con heurística robusta y las características de detección de comportamiento se están ejecutándo en el sistema objetivo, el malware podría ser bloqueado en tiempo de ejecución, dijo Botezatu.

El vendedor del software RAT para hoteles especifica en su anuncio que el software malicioso no recolecta los números de seguridad de la tarjeta, también conocidos como CVV o CID, sin embargo esto no necesario para hacer que el resto de información robada sea muy útil para los cibercriminales.

Algunas empresas tienen permitido hacer cargos en las tarjetas sin el CVV, especialmente en Estados Unidos, dijo Botezatu. Sin embargo, incluso si es no el caso, los datos pueden ser usados para obtener los códigos de seguridad de los dueños de las tarjetas, o para buscar códigos en los bancos de datos recolectados por viejos ataques de phishing.

Muchos de los troyanos de acceso remoto tienen la capacidad de tomar capturas de pantalla, grabar las teclas presionadas, descargar o subir archivos; así como ejecutar código arbitrario, lo cual lo hacen muy adecuado para cualquier tipo de operaciones criminales.

La advertencia sobre este RAT para hoteles incluía capturas de pantalla de una aplicación en especial de venta (PoS, Punto de Venta) para hoteles, pero su funcionalidad podría no ser restringida solo para ese programa en específico.

“La fuerza en programas tipo RAT es su naturaleza genérica, pueden ser usados para atacar muchas aplicaciones diferentes que usan diversas industrias”, dijo Amit Klein, jefe de tecnología de Trusteer. “Hemos visto RAT usados contra aplicaciones internas, aplicaciones bancarias, industria de la defensa, etc.”

Los hoteles generalmente tienen personal limitado en Tecnologías de la Información o con conocimientos sobre malware y tienen que manejar un gran número de tarjetas de crédito diariamente, lo cual lo hace un objetivo perfecto, dijo Yaron Dycian, vicepresidente de productos de Trusteer.

El hecho de que los creadores de este RAT decidan centrarse en la industria hotelera es consistente con recientes observaciones, donde los criminales han cambiado sus objetivos, como una expansión de ataques contra bancos o ataques contra sistemas de ventas.

“Creo que la principal razón de este cambio o diversificación, es el hecho que las máquinas que tienen software de venta en “mini repositorios” y algunas otras máquinas en negocios, sirven como ‘mini repositorios’ donde la información de muchas víctimas puede ser recolectada a la vez”, dijo Klein. “Este es un contraste con los equipos de los clientes que típicamente exponen una o más cuentas”.

 Fuente