新的销售点恶意软件通过DNS查询窃取信用卡数据

随着时间的推移，网络罪犯变得越来越熟练、创新和隐蔽。他们现在正在采用更多的秘密技术，这些技术带有无限的攻击载体，更难被发现。



由于新的POS恶意软件依赖用户数据报协议（UDP）DNS流量过滤信用卡信息，发现该恶意软件的Forcepoint实验室的安全研究人员将其命名为UDPoS.

是的，UDPoS使用域名系统（DNS）查询过滤被盗数据，而不是过去大多数POS恶意软件使用的HTTP。这种恶意软件也被认为是同类软件中的第一个。

除了使用“不寻常”的DNS请求过滤数据外，UDPoS恶意软件还伪装成来自洛格明—一种合法的远程桌面控制服务，用于远程管理计算机和其他系统—；在转移被盗的支付卡数据时，试图通过防火墙和其他安全控制来避免被发现。

Forcepoint研究人员在周四发布的一篇博文中说：“我们最近发现了一个伪装成LogMeIn service pack的样本，该样本产生了大量‘不寻常’的DNS请求。”。

“更深入的调查揭示了一块有缺陷的宝石，最终被设计用来窃取磁条支付卡数据：这是PoS恶意软件的标志。”

研究人员分析的恶意软件样本与瑞士托管的指挥与控制（C&C）服务器有关，而不是与美国、中国、韩国、土耳其或俄罗斯的常见嫌疑人有关。服务器托管一个dropper文件，这是一个包含实际恶意软件的自解压存档。

需要注意的是，UDPoS恶意软件只能针对使用LogMeIn的旧POS系统。

像大多数恶意软件一样，UDPoS也会主动搜索防病毒软件和虚拟机，如果发现任何，则禁用。研究人员表示，“目前尚不清楚这是否反映了恶意软件仍处于相对早期的开发/测试阶段。”

虽然没有证据表明UDPoS恶意软件目前正被用于窃取信用卡或借记卡数据，但Forcepoint的测试表明，该恶意软件确实能够成功做到这一点。

此外，C&；UDPoS恶意软件样本与之通信的C服务器在威胁调查期间处于活动状态，响应迅速，这表明作者至少准备在野外部署该恶意软件。

需要注意的是，恶意软件背后的攻击者并未受到LogMeIn服务本身的危害—；这只是模仿而已。LogMeIn本周发布了一篇博客帖子，警告其客户不要上当受骗。

“根据我们的调查，该恶意软件旨在欺骗毫无戒备的用户，使其执行可能包含LogMeIn名称的恶意电子邮件、链接或文件，”LogMeIn指出。

“LogMeIn不提供此链接、文件或可执行文件，LogMeIn产品的更新（包括补丁、更新等）将始终安全地在产品中提供。我们永远不会联系您请求更新您的软件，其中还包括附件或指向新版本或更新的链接。”

Forcepoint研究人员表示，防范此类威胁可能是一个棘手的问题，因为“几乎所有公司都有防火墙和其他保护措施来监控和过滤基于TCP和UDP的通信”，但DNS仍然经常受到不同的对待，为黑客泄露数据提供了黄金机会。

去年，我们遇到了一个名为DNSMessenger的远程访问特洛伊木马（RAT），它使用DNS查询在受损计算机上执行恶意PowerShell命令，使得恶意软件难以在目标系统上检测到。