Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/02/2018
Nou Malware UDPoS en punts de venda (PoS)
UDPoS aconsegueix exfiltrar informació de la targetes utilitzades en els punts de venda via DNS.
El passat gener es va descobrir una nova varietat de programari maliciós que afecta principalment punts de venda (PoS). Pareix que UDPoS està destinat a enganyar un usuari desprevingut perquè execute un correu electrònic, enllaç o arxiu maliciós, que possiblement continga el nom de LogMeIn.
LogMeIn ha comunicat que les seues actualitzacions del producte, així com pedaços, etc., sempre estan integrats automàticament en el producte i mai contacten per mitjà de sol·licitud directa als usuaris. El que ens porta a entendre que és un programari que s’està distribuint per tercers desconeguts.
El programari maliciós es presenta amb noms com logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe. Una vegada infectat l’objectiu, UDPoS crea un nou servei del sistema per a mantindre la persistència i després inicia una component per a buscar les dades sensibles de la targeta de pagament. Utilitza un mètode bàsic de xifrat i codificació per a ofuscar diverses cadenes sych com el servidor C2, noms d’arxius i noms de processos per a evadir la detecció. Una vegada localitza les dades de la targeta de pagament, UDPoS realitza una sol·licitud HTTP per a determinar l'adreça IP externa del sistema infectat i després exfiltra eixa informació per mitjà de la generació de sol·licituds falses DNS basades en UDP.
Més informació ací.