UDPoS es un malware
de puntos de venta que envía la información vía DNS disfrazado de actualización
de la aplicación LogMeIn
Recientemente se ha
descubierto una nueva variedad de malware que afecta principalmente a puntos de
venta (PoS) y envía la información de las tarjetas robadas a través del
protocolo DNS. El uso de este protocolo es algo a destacar, ya que lo más común
en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar
por una actualización de LogMeIn.
El malware se presenta
con nombres como 'logmeinumon.exe, update.exe,
LogMeInServicePack_5.115.22.001.exe' y se comunica con servidores de control
alojados en Suiza. La primera vez que se ejecuta genera un archivo
'infobat.bat' que se usa para hacer una firma del sistema y poder identificar
las máquinas infectadas. A continuación escanea la máquina infectada y la
información recopilada se aloja en un fichero llamado 'PCi.jpg', que se envía
al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se
asegura
El malware también
busca software antivirus en la máquina infectada o si está siendo ejecutado en
una máquina virtual.
Los investigadores de
Forcepoint que lo han descubierto comentan que parece ser una versión en
desarrollo, ya que no se puede asegurar que esté en funcionamiento
completamente. Tal vez esto sólo sea una prueba del malware...
Volviendo al envío de
datos robados, como ya comentamos el uso del protocolo DNS no es una elección
común, pero tampoco es algo único. A continuación, recordamos algunos malwares
que usan esta misma técnica para enviar los datos robados:
Más información
- LogMeIn ha publicado una aviso a sus clientes accesible
desde https://blog.logmein.com/products/central/phishing-alert-pos-malware-mimic-logmein-software-updates
- Investigación completa del malware: https://blogs.forcepoint.com/es/security-labs/udpos-exfiltrating-credit-card-data-dns
Fuente: Hispasec