Los delincuentes cibernéticos son cada vez más hábiles, innovadores y sigilosos con cada día que pasa. Ahora están adoptando más técnicas clandestinas que vienen con vectores de ataque ilimitados y son más difíciles de detectar.

Ahora se ha descubierto una nueva variedad de malware que se basa en una técnica única para robar información de tarjetas de pago de los sistemas de puntos de venta (PoS).

Dado que el nuevo malware POS se basa en el tráfico DNS del Protocolo de datagramas de usuario para la filtración de información de tarjetas de crédito, los investigadores de seguridad de Forcepoint Labs, que han descubierto el malware, lo denominaron UDPoS .

Sí, UDPoS utiliza consultas del Sistema de nombres de dominio (DNS) para filtrar los datos robados, en lugar de HTTP que ha sido utilizado por la mayoría de los malware POS en el pasado. Este malware también se cree que es el primero de su tipo.

Además de utilizar solicitudes DNS «inusuales» para filtrar datos, el malware UDPoS se disfraza como una actualización de LogMeIn, un servicio legítimo de control de escritorio remoto utilizado para administrar computadoras y otros sistemas de forma remota, en un intento de evitar la detección mientras transfiere datos robados de tarjetas de pago. cortafuegos y otros controles de seguridad.

«Recientemente encontramos una muestra aparentemente disfrazada como un paquete de servicio de LogMeIn que generó cantidades notables de solicitudes ‘inusuales’ de DNS», dijeron los investigadores de Forcepoint en una publicación de blog el jueves.

«Una investigación más profunda reveló algo así como una gema defectuosa, finalmente diseñada para robar datos de tarjetas de pago con banda magnética: un sello distintivo del malware PoS».

La muestra de malware analizada por los investigadores enlaza con un servidor de comando y control (C & C) alojado en Suiza en lugar de los sospechosos habituales de los Estados Unidos, China, Corea, Turquía o Rusia. El servidor alberga un archivo dropper, que es un archivo autoextraíble que contiene el malware real.

Cabe señalar que el malware UDPoS solo puede apuntar a sistemas POS más antiguos que utilizan LogMeIn.

Al igual que la mayoría de los programas maliciosos, UDPoS también busca de forma activa software antivirus y máquinas virtuales y deshabilita si encuentra alguno. Los investigadores dicen que no está claro «en este momento si esto es un reflejo de que el malware aún se encuentra en una etapa relativamente temprana de desarrollo/prueba».

Aunque no hay evidencia de que el malware UDPoS se esté utilizando actualmente para robar datos de tarjetas de crédito o débito, las pruebas de Forcepoint han demostrado que el malware sí puede hacerlo con éxito.

Además, uno de los servidores de C & C con el que se comunica la muestra de malware UDPoS estuvo activo y receptivo durante la investigación de la amenaza, sugiriendo que los autores estaban al menos preparados para desplegar este malware.

Cabe señalar que los atacantes detrás del malware no se han visto comprometidos en el servicio LogMeIn en sí mismo; solo se ha suplantado. LogMeIn publicó en su blog esta semana, advirtiendo a sus clientes a no caer en la estafa.

«De acuerdo con nuestra investigación, el malware tiene la intención de engañar a un usuario desprevenido para que ejecute un correo electrónico malicioso, enlace o archivo, que posiblemente contenga el nombre de LogMeIn», señaló LogMeIn.

«LogMeIn no proporciona este enlace, archivo o archivo ejecutable, y las actualizaciones de los productos de LogMeIn, incluidos los parches, las actualizaciones, etc., siempre se entregarán de forma segura dentro del producto. Nunca nos contactaremos con usted para solicitarle que actualice su software que también incluye un archivo adjunto o un enlace a una nueva versión o actualización «.

Según los investigadores de Forcepoint, la protección contra dicha amenaza podría ser una proposición difícil, ya que «casi todas las empresas tienen firewalls y otras protecciones para monitorear y filtrar comunicaciones basadas en TCP y UDP», pero el DNS a menudo se trata de manera diferente, proporcionando un oportunidad de oro para que los hackers filtren datos.

El año pasado, encontramos un Troyano de Acceso Remoto (RAT), denominado DNSMessenger , que utiliza consultas DNS para realizar comandos maliciosos de PowerShell en computadoras comprometidas, lo que hace que el malware sea difícil de detectar en sistemas específicos.

 

Danos tu reacción

1
Me encanta
0
Me alegra
0
Me sorprende
0
Me entristese
0
Me enoja