新的销售点Malware Multigrain窃取了DNS的卡数据
安全研究人员已经发现了一种新的内存刮擦恶意软件程序,可从销售点(POS)终端窃取支付卡数据,并使用域名系统(DNS)将其发送回攻击者。
威胁,威胁是一个名为newposthings的恶意软件程序系列的一部分,它分享了一些代码。然而,这种变体旨在瞄准特定环境。
因为与在许多进程中寻找卡数据的其他POS恶意软件程序不同,Multigrain针对一个名为Multi.exe的单个过程,即与流行的后端卡授权和POS服务器相关联。如果此过程在受损机器上未运行,则存在感染例程,并且恶意软件删除本身。
“这表明,在开发或建立恶意软件时,攻击者对目标环境非常了解,并知道这个过程将运行,”Fireeye的安全研究人员在博客帖子中说。
Fireeye没有命名多基础的POS软件。但是,像这样的威胁表明,公司需要监控源自自己网络的DNS流量以获得可疑行为。
Multigrain设计有隐身的设计。它被数字签名,它将其自身作为一个名为Windows模块扩展的服务,更重要的是,它通过DNS查询将数据发送回攻击者。
Stolen Paymack数据首先使用1024位RSA键加密,然后通过Base32编码过程。生成的编码数据用于日志的DNS查询。[Encoded_data] .evildomain.com,其中“evildomain”是由攻击者控制的域名。此查询将出现在域的权威DNS服务器中,该域也由攻击者控制。
这种技术虽然不具体到多基体,但允许攻击者通过其他因特网通信协议被阻止的限制环境传递数据。
“处理卡数据的敏感环境通常会监视,限制或完全阻止通常用于其他环境中的exfiltration的HTTP或FTP流量,”Fireeye研究人员表示。“虽然可以在限制性卡处理环境中禁用这些常见的互联网协议,但DNS仍然需要在公司环境中解析主机名,并且不太可能被阻止。”