Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/02/2018
El passat gener es va descobrir una nova varietat de programari maliciós que afecta principalment punts de venda (PoS). Pareix que UDPoS està destinat a enganyar un usuari desprevingut perquè execute un correu electrònic, enllaç o arxiu maliciós, que possiblement continga el nom de LogMeIn.
LogMeIn ha comunicat que les seues actualitzacions del producte, així com pedaços, etc., sempre estan integrats automàticament en el producte i mai contacten per mitjà de sol·licitud directa als usuaris. El que ens porta a entendre que és un programari que s’està distribuint per tercers desconeguts.
El programari maliciós es presenta amb noms com logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe. Una vegada infectat l’objectiu, UDPoS crea un nou servei del sistema per a mantindre la persistència i després inicia una component per a buscar les dades sensibles de la targeta de pagament. Utilitza un mètode bàsic de xifrat i codificació per a ofuscar diverses cadenes sych com el servidor C2, noms d’arxius i noms de processos per a evadir la detecció. Una vegada localitza les dades de la targeta de pagament, UDPoS realitza una sol·licitud HTTP per a determinar l'adreça IP externa del sistema infectat i després exfiltra eixa informació per mitjà de la generació de sol·licituds falses DNS basades en UDP.
Més informació ací.