Malware de Ponto de Venda (PoS) Multigrain retira dados de cartão roubado sobre DNS

Malware de Ponto de Venda (PoS) Multigrain retira dados de cartão roubado sobre DNS

20 de abril de 2016 Blog Notícias 0
titulo

Sharing is caring ... Help us!

titulo

Especialistas de segurança da FireEye descobriram uma nova variante do NewPosThing PoS malware, chamado de Multigrain, que rouba pagamentos de cartão de sistemas de pontos de venda (PoS) e retira os dados via DNS para evitar detecção.

A técnica é muito efetiva porque o tráfego DNS não é filtrado pelas organizações alvo tornando difícil a detecção dos dados roubados. Os VXers sabem bem que os administradores de sistemas nunca inspecionam profundamente os pacotes DNS, e essa técnica de remoção é incomum para essa família de malware, no passado apenas alguns código maliciosos implementavam o método (BernhardPOS e FrameworkPOS), explica o site securityaffairs.co.

Os especialistas da FireEye destacam que os administradores em ambientes sensíveis que processam pagamentos de cartão irão sempre monitorar o tráfego HTTP ou FTP de forma a detectar atividade de extração de dados. A organização nunca bloqueia o serviço DNS de forma a resolver os hostnames, eles sempre pensam que nisso como parte do tráfego.

A infecção Multigrain é desencadeada ao checar o processo multi.exe back-end PoS, somente se estiver sendo executado na máquina que o ataque tem início. Uma vez que o Multigrain infecta o ponto de venda, ele usa uma busca DNS refinada para informar o servidor de comando e controle (C&C) de uma instalação bem sucedida, então ele começa a varrer a memória do sistema de ponto de venda buscando por dados de pagamento de cartão (número de conta, data de expiração e código de segurança de cartão).

A FireEye explica:” O malware coleta o número serial do volume e parte do endereço MAC e cria um hash do valor concatenado usando o algoritmo de hash DJB2. O hash resultante é então combinado com o nome do computador e o número da versão e os três componentes são codificados com uma Base32 customizada de algoritmo de codificação. O malware então faz uma busca DNS com essa informação a um domínio codificado, notificando ele que o atacante obteve uma instalação de sucesso”.

fonte:

http://securityaffairs.co/wordpress/46496/malware/multigrain-pos-malware.html

http://i2.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/04/MULTIGRAIN-POS-malware-beaconing.png?w=800

 

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.