titulo

titulo

Especialistas de segurança da FireEye descobriram uma nova variante do NewPosThing PoS malware, chamado de Multigrain, que rouba pagamentos de cartão de sistemas de pontos de venda (PoS) e retira os dados via DNS para evitar detecção.

A técnica é muito efetiva porque o tráfego DNS não é filtrado pelas organizações alvo tornando difícil a detecção dos dados roubados. Os VXers sabem bem que os administradores de sistemas nunca inspecionam profundamente os pacotes DNS, e essa técnica de remoção é incomum para essa família de malware, no passado apenas alguns código maliciosos implementavam o método (BernhardPOS e FrameworkPOS), explica o site securityaffairs.co.

Os especialistas da FireEye destacam que os administradores em ambientes sensíveis que processam pagamentos de cartão irão sempre monitorar o tráfego HTTP ou FTP de forma a detectar atividade de extração de dados. A organização nunca bloqueia o serviço DNS de forma a resolver os hostnames, eles sempre pensam que nisso como parte do tráfego.

A infecção Multigrain é desencadeada ao checar o processo multi.exe back-end PoS, somente se estiver sendo executado na máquina que o ataque tem início. Uma vez que o Multigrain infecta o ponto de venda, ele usa uma busca DNS refinada para informar o servidor de comando e controle (C&C) de uma instalação bem sucedida, então ele começa a varrer a memória do sistema de ponto de venda buscando por dados de pagamento de cartão (número de conta, data de expiração e código de segurança de cartão).

A FireEye explica:” O malware coleta o número serial do volume e parte do endereço MAC e cria um hash do valor concatenado usando o algoritmo de hash DJB2. O hash resultante é então combinado com o nome do computador e o número da versão e os três componentes são codificados com uma Base32 customizada de algoritmo de codificação. O malware então faz uma busca DNS com essa informação a um domínio codificado, notificando ele que o atacante obteve uma instalação de sucesso”.

fonte:

http://securityaffairs.co/wordpress/46496/malware/multigrain-pos-malware.html

http://i2.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/04/MULTIGRAIN-POS-malware-beaconing.png?w=800