21/04/2016

PoS malware κλέβει αριθμούς πιστωτικών καρτών μέσω DNS requests

Μια νέα έκδοση του NewPosThings PoS malware χρησιμοποιεί μια έξυπνη τεχνική για την εξαγωγή δεδομένων από μολυσμένα POS τερματικά στα οποία σχεδόν καμία λύση ασφάλειας δεν παρακολουθεί για malware δραστηριότητα. Το κακόβουλο λογισμικό NewPoSThings εμφανίστηκε πριν από πολλά χρόνια και για μεγάλο χρονικό διάστημα δεν ξεχώριζε από το πλήθος των άλλων οικογενειών PoS malware. Ακριβώς όπως και στον ανταγωνισμό, το NewPoSThings μόλυνε διεργασίες των Windows που χειρίζονταν δεδομένα πιστωτικών καρτών, ψάχνοντας το περιεχόμενο για οικονομικές πληροφορίες και στη συνέχεια τις έστελνε στους C&C servers του. Στις πρώτες εκδόσεις του, η διαδικασία exfiltration συνέβαινε μέσω HTTP και, στη συνέχεια, μέσω HTTPS. Στην πιο πρόσφατη έκδοσή του, η διαδικασία αυτή άλλαξε σε DNS. Ο λόγος πίσω από μια τέτοια δραστική αλλαγή έγκειται στο γεγονός ότι οι περισσότερες λύσεις ασφαλείας έχουν ρυθμιστεί για να παρακολουθούν την HTTP και HTTPS κίνηση για οποιαδήποτε ύποπτη δραστηριότητα. Προκειμένου να αποφύγει την ανίχνευση, η πιο πρόσφατη έκδοση του NewPoSThings άλλαξε τις διαδικασίες της σε χρήση DNS requests, τα οποία οι antivirus λύσεις δεν βλέπουν και τα οποία οι webmasters δεν μπορούν να απενεργοποιήσουν δεδομένου ότι είναι απαραίτητα για την επίλυση domains hostnames.


Άλλοι τύποι PoS malware, όπως τα BernhardPOS και FrameworkPOS έχουν χρησιμοποιήσει και αυτές το ίδιο κόλπο. Εκτός από το exfiltration με βάση το DNS, η νέα έκδοση του NewPoSThings, με το παρατσούκλι MULTIGRAIN, έρχεται επίσης με μια άλλη ιδιαιτερότητα. Φαίνεται ότι οι φορείς της αποφάσισαν να στοχεύουν μόνο έναν συγκεκριμένο τύπο PoS πλατφόρμας. Το MULTIGRAIN θα ψάχνει μόνο για τη multi.exe διαδικασία των Windows, ειδικά σε έναν μόνο PoS τερματικό πωλητή και θα προχωράει για να το μολύνει. Μόλις προχωρήσει με αυτή τη διαδικασία, το κακόβουλο λογισμικό θα σταματάει και θα περιμένει Track 2 δεδομένα πιστωτικής κάρτας. Το NewPoSThings MULTIGRAIN θα καταγράψει αυτές τις πληροφορίες, κρυπτογραφώντας το 1024-bit RSA δημόσιο κλειδί και θα το στέλνει στους command and control servers του ανά διαστήματα πέντε λεπτών, μεταμφιεσμένες σε DNS requests. «Αν και το MULTIGRAIN δεν φέρνει νέες δυνατότητες στο τραπέζι των POS malware, δείχνει ότι ικανοί επιτιθέμενοι μπορούν να προσαρμόσουν το κακόβουλο λογισμικό «φευγαλέα» για να στοχεύσουν ένα συγκεκριμένο περιβάλλον», εξήγησαν οι FireEye ερευνητές. «Ενώ το exfiltration μέσω DNS δεν είναι μια νέα τακτική, το MULTIGRAIN δείχνει ότι οι οργανώσεις θα πρέπει να παρακολουθούν και να ελέγχουν την DNS κυκλοφορία για ύποπτη ή ανώμαλη συμπεριφορά.»

https://www.secnews.gr/103317/pos-malware-kleibei-arithmous-pistwtikwn-kartwn-via-dns-requests/

No comments :

Post a Comment