Os cibercriminosos estão se tornando mais adeptos, inovadores e sigilosos com cada dia que passa. Eles estão adotando mais técnicas clandestinas que vêm com vetores de ataque ilimitados e são mais difíceis de detectar.
Uma nova variedade de malware já foi descoberta que se baseia em uma técnica única para roubar informações do cartão de pagamento dos sistemas de ponto de venda (PoS).
Uma vez que o novo malware POS se baseia no tráfego de DNS do Protocolo de Datagram do Usuário (UDP) para a análise das informações do cartão de crédito, os pesquisadores de segurança da Forcepoint Labs, que descobriram o malware, apelidado de UDPoS .
Uma nova variedade de malware já foi descoberta que se baseia em uma técnica única para roubar informações do cartão de pagamento dos sistemas de ponto de venda (PoS).
Uma vez que o novo malware POS se baseia no tráfego de DNS do Protocolo de Datagram do Usuário (UDP) para a análise das informações do cartão de crédito, os pesquisadores de segurança da Forcepoint Labs, que descobriram o malware, apelidado de UDPoS .
Sim, o UDPoS usa consultas do Sistema de Nomes de Domínio (DNS) para exfiltrar dados roubados, em vez de HTTP que tenha sido usado pela maioria dos malwares POS no passado. Este malware também é considerado o primeiro de seu tipo.
Além de usar pedidos de DNS incomuns para exfiltrar dados, o malware UDPoS se disfarça como uma atualização do LogMeIn - um serviço legítimo de controle de área de trabalho remoto usado para gerenciar computadores e outros sistemas remotamente - na tentativa de evitar a detecção ao transferir dados de cartão de pagamento roubados firewalls e outros controles de segurança.
"Nós recentemente nos deparamos com uma amostra aparentemente disfarçada como um pacote de serviço LogMeIn que gerou quantidades notáveis de pedidos de DNS" incomuns ", disseram pesquisadores do Forcepoint em um blog publicado quinta-feira.
"Uma investigação mais profunda revelou algo de uma gema defeituosa, em última instância, projetado para roubar dados do cartão de pagamento de faixa magnética: uma marca registrada do malware PoS".A amostra de malware analisada pelos pesquisadores liga-se a um servidor de comando e controle (C & C) hospedado na Suíça em vez dos suspeitos habituais dos Estados Unidos, China, Coréia, Turquia ou Rússia. O servidor hospeda um arquivo conta-gotas, que é um arquivo auto-extraível contendo o malware real.
Deve-se notar que o malware UDPoS só pode segmentar sistemas de POS mais antigos que usam LogMeIn.
Como a maioria dos malwares, o UDPoS também busca ativamente software antivírus e máquinas virtuais e desabilite se encontrar algum. Os pesquisadores dizem que não está claro "no presente se isso é um reflexo do malware ainda estar em uma fase relativamente precoce de desenvolvimento / teste".
Embora não haja evidência de que o malware UDPoS esteja atualmente em uso para roubar dados de cartão de crédito ou débito, os testes do Forcepoint mostraram que o malware realmente é capaz de fazê-lo com sucesso.
Além disso, um dos servidores C & C com os quais a amostra de malware UDPoS se comunica foi ativo e responsivo durante a investigação da ameaça, sugerindo que os autores estavam pelo menos preparados para implantar este malware na natureza.
Deve-se notar que os atacantes por trás do malware não foram comprometidos pelo próprio serviço LogMeIn - é apenas representado. O próprio LogMeIn publicou um blogpost esta semana, alertando seus clientes para não se apaixonarem pelo golpe.
"De acordo com nossa investigação, o malware destina-se a enganar um usuário desavisado na execução de um email, link ou arquivo malicioso, possivelmente contendo o nome do LogMeIn", observou o LogMeIn.
"Este link, arquivo ou executável não é fornecido pelo LogMeIn e as atualizações para os produtos LogMeIn, incluindo patches, atualizações, etc., serão sempre entregues de forma segura no produto. Você nunca será contatado por nós com um pedido para atualizar seu software que também inclui um anexo ou um link para uma nova versão ou atualização ".De acordo com os pesquisadores do Forcepoint, a proteção contra tal ameaça poderia ser uma proposta complicada, já que "quase todas as empresas têm firewalls e outras proteções no local para monitorar e filtrar comunicações baseadas em TCP e UDP", mas o DNS ainda é tratado de forma diferente, oportunidade de ouro para hackers de dados de vazamento.
No ano passado, encontramos um Trojan de Acesso Remoto (RAT), denominado DNSMessenger , que usa consultas de DNS para conduzir comandos maliciosos do PowerShell em computadores comprometidos, tornando o malware difícil de detectar em sistemas direcionados.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário