Apodado «Poseidón», el malware viene con un componente keylogger y envía lo obtenido a una serie de servidores alojados principalmente en dominios de Rusia (.ru). Se instala en el sistema destino en múltiples etapas.
«En un nivel alto, se inicia con un binario Loader que al ser ejecutado primero tratará de mantener la persistencia en la máquina objetivo con el fin de sobrevivir a un posible reinicio del sistema», los investigadores explicaron la secuencia del compromiso.
«El Loader entonces se contacta con un servidor de comando y control y obtiene una URL que contiene otro binario para descargar y ejecutar. El binario descargado, FindStr, instala un keylogger y escanea la memoria del dispositivo PoS en busca de secuencias de números que pueden ser números de tarjetas de crédito. Tras verificar que los números son en efecto números de tarjetas de crédito, las pulsaciones del teclado y los números de tarjetas de crédito son codificados y enviados a un servidor de exfiltración».
El malware utiliza el algoritmo Luhn para verificar que los números encontrados son en realidad números de tarjetas de pago.
«Mientras los ataques a los PoS sigan proporcionando ganancias, los atacantes seguirán invirtiendo en la innovación y el desarrollo de nuevas familias de malware», comentaron los investigadores. «Los administradores de red tendrán que permanecer vigilantes y adherirse a las mejores prácticas para garantizar la cobertura y la protección contra el avance de las amenazas de malware.