Un nouveau logiciel malveillant au point de vente vole des données de carte de crédite via des requêtes DNS

Les cybercriminels deviennent de plus en plus adeptes, innovants et furtifs chaque jour qui passe. Ils adoptent maintenant des techniques plus clandestines qui viennent avec des vecteurs d’attaque illimités et sont plus difficiles à détecter.

Une nouvelle souche de logiciels malveillants a maintenant été découverte qui repose sur une technique unique pour voler les informations de carte de paiement à partir des systèmes de point de vente (PoS).

Depuis que le nouveau malware POS repose sur le trafic DNS UDP (User Datagram Protocol) pour l’exfiltration des informations de carte de crédit, les chercheurs en sécurité de Forcepoint Labs, qui ont découvert le malware, l’ont surnommé UDPoS .
Oui, UDPoS utilise les requêtes DNS (Domain Name System) pour exfiltrer les données volées, au lieu de HTTP qui a été utilisé par la plupart des malwares POS dans le passé. Ce malware est également considéré comme le premier du genre.
En plus d’utiliser des requêtes DNS « inhabituelles » pour exfiltrer les données, le malware UDPoS se déguise en une mise à jour de LogMeIn, un service de contrôle à distance permettant de gérer les ordinateurs et autres systèmes à distance. pare-feu et autres contrôles de sécurité.
« Nous avons rencontré récemment un échantillon apparemment déguisé en un paquet de service LogMeIn qui a généré des quantités notables de requêtes DNS « inhabituelles », » les chercheurs Forcepoint a déclaré dans un blogpost publié jeudi.
"Une enquête approfondie a révélé quelque chose d’un bijou imparfait, finalement conçu pour voler des données de carte de paiement à bande magnétique : une caractéristique des logiciels malveillants de PoS."
L’échantillon de logiciels malveillants analysé par les chercheurs est relié à un serveur de commande et de contrôle (C & C) hébergé en Suisse plutôt qu’aux suspects habituels des États-Unis, de Chine, de Corée, de Turquie ou de Russie. Le serveur héberge un fichier dropper, qui est une archive auto-extractible contenant le malware réel.
Il convient de noter que le logiciel malveillant UDPoS ne peut cibler que les anciens systèmes de point de vente qui utilisent LogMeIn.
Comme la plupart des logiciels malveillants, UDPoS recherche également activement les logiciels antivirus et les machines virtuelles et les désactive s’ils en trouvent. Les chercheurs disent qu’il n’est pas clair "à l’heure actuelle si cela est le reflet du malware toujours à un stade relativement précoce de développement / test."
Bien qu’il n’y ait aucune preuve que le malware UDPoS soit actuellement utilisé pour voler des données de cartes de crédit ou de débit, les tests du Forcepoint ont montré que le malware est en effet capable de le faire avec succès.
De plus, l’un des serveurs C & C avec lesquels l’échantillon de logiciels malveillants UDPoS communique était actif et réactif pendant l’enquête sur la menace, suggérant que les auteurs étaient au moins prêts à déployer ce malware dans la nature.
Il convient de noter que les attaquants derrière le logiciel malveillant n’ont pas été compromis le service LogMeIn lui-même, il est juste usurpé. LogMeIn lui-même a publié un article de blog cette semaine, avertissant ses clients de ne pas tomber dans l’arnaque.
"Selon notre enquête, le logiciel malveillant est destiné à tromper un utilisateur peu méfiant dans l’exécution d’un email, lien ou fichier malveillant, contenant éventuellement le nom LogMeIn", note LogMeIn.
"Ce lien, fichier ou exécutable n’est pas fourni par LogMeIn et les mises à jour pour les produits LogMeIn, y compris les correctifs, les mises à jour, etc., seront toujours livrés en toute sécurité dans le produit.Nous ne serons jamais contactés avec une demande de mise à jour un logiciel qui inclut également une pièce jointe ou un lien vers une nouvelle version ou une mise à jour. "
Selon les chercheurs de Forcepoint, la protection contre une telle menace pourrait être une proposition délicate car « presque toutes les entreprises ont des pare-feu et d’autres protections en place pour surveiller et filtrer les communications TCP et UDP », mais le DNS est souvent traité différemment. Occasion en or pour les pirates de fuir les données.
L’année dernière, nous avons découvert un cheval de Troie d’accès distant (RAT), appelé DNSMessenger , qui utilise des requêtes DNS pour exécuter des commandes PowerShell malveillantes sur des ordinateurs compromis, ce qui rend le logiciel malveillant difficile à détecter sur les systèmes ciblés.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image