Segn Webimprints un proveedor de pruebas de penetracin, el malware, conocido como "Cherry Picker," aparentemente ha estado disponible desde 2011. Pero ha permanecido en gran parte desapercibido por herramientas antivirus y empresas de seguridad debido a las sofisticadas tcnicas que utiliza para ocultarse de la vista. Cherry Picker es configurable para diversos propsitos y usando una nueva tcnica para raspar los datos de la memoria de los sistemas POS que infecta. Uso de cifrado, archivos de configuracin, los argumentos de lnea de comandos, y la ofuscacin tambin han permitido que el malware para permanecer sin ser detectado por mucho tiempo.
Cherry Picker Malware
Segn expertos deproveedor de pruebas de penetracin, el autor de Cherry Picker ha mantenido actualizacin de la herramienta, ya que apareci por primera vez en 2011. El malware est ahora en su tercera generacin y es notable por varias razones. Por ejemplo, algunas otras piezas de malware van en la medida que Cherry Picker hace en la limpieza despus de s mismo. Tcnica de Cherry Picker de infectar un archivo legtimo en el sistema POS y ejecutar desde dentro del archivo comprometido sugiere un alto grado de sofisticacin por parte del autor de malware tambin.
Cherry Picker Malware
Cherry Picker es una DLL que se carga o se inyecta en el proceso de destino, llamando GetCurrentProcess recupera un identificador de proceso actual. Esto funciona tambin en otros procesos, pero el proceso de llamada y la necesidad de proceso extranjero que se abrirn con los privilegios correctos. Con el identificador de proceso, se realiza una llamada a QueryWorkingSet. Esta llamada fallar realmente porque no sabemos cunto espacio necesitamos para el bfer, pero a pesar eso devolver an el nmero de pginas virtuales que actualmente cuenta con el proceso. Esta es la informacin que estamos buscando. Conocer el nmero de pginas que tenemos nos permite declarar un bfer con la cantidad correcta de espacio comenta Mike Stevens profesional de empresa de seguridad informtica.
Cherry Picker Malware
Comenta Mike Stevens de empresa de seguridad informtica con una memoria suficientemente grande, podemos llamar QueryWorkingSet de nuevo para recuperar la informacin acerca de las pginas residente en la memoria. La API QueryWorkingSet devolver las direcciones en el espacio virtual para cada pgina fsica que se asigna a la memoria virtual del proceso. Normalmente se utiliza VirtualQuery para acceder a la memoria pero en este caso no. Ambas tcnicas le dar acceso a la misma memoria virtual, pero de una manera diferente.
Cherry Picker Malware
Comenta Mike Stevens de empresa de seguridad informtica que documentacin de la API de Microsoft describe el conjunto de trabajo como: "El conjunto de trabajo de un programa es una coleccin de esas pginas en su espacio de direcciones virtuales que han sido recientemente referenciados. Incluye datos compartida y privados" Esencialmente, QueryWorkingSet est accediendo a la memoria virtual de una pgina a la vez, mientras que VirtualQuery accede a la memoria a travs de un rango variable. As Cherry Picker usa nueva tcnica para raspar la memoria con la API QueryWorkingSet de Windows.