Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/02/2018
Nuevo Malware UDPoS en puntos de venta (PoS)
UDPoS consigue exfiltrar información de la tarjetas utilizadas en los puntos de venta vía DNS.
El pasado Enero se descubrió una nueva variedad de malware que afecta principalmente a puntos de venta (PoS). Parece ser que UDPoS está destinado a engañar a un usuario desprevenido para que ejecute un correo electrónico, enlace o archivo malicioso, que posiblemente contenga el nombre de LogMeIn.
LogMeIn ha comunicado que sus actualizaciones del producto, así como parches, etc... siempre están integrados automáticamente en el producto y nunca contactan mediante solicitud directa a los usuarios. Lo que nos lleva a entender que es un software que se está distribuyendo por terceros desconocidos.
El malware se presenta con nombres como logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe. Una vez infectado el objetivo, UDPoS crea un nuevo servicio del sistema para mantener la persistencia y luego inicia una componente para buscar los datos sensibles de la tarjeta de pago. Utiliza un método básico de cifrado y codificación para ofuscar varias cadenas sych como el servidor C2, nombres de archivos y nombres de procesos para evadir la detección. Una vez que localiza los datos de la tarjeta de pago, UDPoS realiza una solicitud HTTP para determinar la dirección IP externa del sistema infectado y luego exfiltra esa información mediante la generación de solicitudes falsas DNS basadas en UDP.
Más información aquí.