Encuentran malware que se oculta como tráfico DNS para afectar a los sistemas PoS

Share this…

Se han encontrado una nueva variedad de malware de punto de venta conocida como PoS, por sus siglas en ingles. Expertos del Instituto Internacional de Seguridad Cibernética, comentaron que este malware se disfraza como un paquete de servicio de LogMeIn para ocultar el robo de datos de clientes.

La semana pasada, los investigadores en seguridad informática, Robert Neumann y Luke Somerville dijeron en una publicación que una nueva familia de malware, denominada UDPoS, intenta disfrazarse como servicios legítimos para evitar la detección al transferir datos robados.

malware PoS

En una muestra del malware descubierto recientemente por una firma de seguridad informática, se noto que este se disfraza como una función de LogMeIn, este es un sistema de acceso remoto legítimo que se usa para administrar computadoras y otros sistemas de forma remota.

Este paquete de servicios falso generó cantidades notables de solicitudes inusuales de DNS, según el equipo y tras una investigación adicional, se descubrió que el sistema falso de LogMein era en realidad malware PoS.

El malware PoS acecha en los sistemas de seguridad informática donde la información de la tarjeta de crédito se procesa y se almacena potencialmente, como en tiendas y restaurantes. Si un sistema de punto de venta está infectado, malware como DEXTER o BlackPOS robará los datos de la tarjeta contenidos en la banda magnética de la tarjeta de crédito, antes de enviar esta información a su operador a través de un servidor de comando y control (C & C).

La información robada se puede usar para crear tarjetas de duplicación de bancos, borrar cuentas bancarias y, posiblemente, también para robo de identidad.

Apenas en 2013, la empresa estadounidense Target fue víctima de malware PoS y con esto fue robada la información de la tarjeta de crédito de aproximadamente 110 millones de clientes.

En lo que las empresas de seguridad informática como WebImprints llaman algo inusual, el nuevo malware UDPoS utiliza nombres de archivos con temática de LogMein y URL de C & C para ocultar su tráfico basado en DNS.

En las pruebas realizadas a la muestra tomada del malware, logmeinumon.exe, se puede ver que este se enlaza con un servidor de C & C alojado en Suiza y contiene un cuentagotas y archivos autoextraíbles que extrae el contenido de los directorios temporales.

A su vez, se crea un directorio LogMeInUpdService junto con un servicio del sistema para habilitar la persistencia, y luego entra en juego un componente de monitoreo.

“Este componente de monitoreo tiene una estructura casi idéntica al componente de servicio”, dicen los expertos en seguridad informática. “Es compilado por la misma versión de Visual Studio y utiliza la misma técnica de codificación de cadenas: ambos contienen solo unas pocas cadenas de texto plano identificables, y en su lugar usan un cifrado básico y un método de codificación para ocultar cadenas como el servidor C2, nombres de archivos y nombres de proceso codificados “.

malware

Toda la información obtenida, como la información de la tarjeta del cliente, luego se recopila y se envía a través del tráfico del DNS disfrazado como LogMein.

“Casi todas las empresas tienen firewalls y otras protecciones para monitorear y filtrar las comunicaciones basadas en TCP y UDP, sin embargo, a menudo se sigue tratando el DNS de manera diferente brindando una oportunidad de oro para filtrar datos”, señalan colaboradores de una firma de seguridad informática.

Compañías especializadas en seguridad informática, enfatizan que el uso de los temas de LogMein es simplemente una forma de camuflar las actividades del malware, y después de revelar los hallazgos a la empresa de software remoto, no se ha encontrado evidencia de abuso del producto o servicio.

Aun no se tienen pruebas de si este malware se usa o no en la naturaleza, pero la compilación del malware fue el 25 de octubre de 2017, por lo que esta puede ser una campaña nueva.

Por otro lado, los investigadores en seguridad informática dicen que hay evidencia de una “variante anterior con temas de Intel”, que sugiere que UDPoS puede ser la próxima evolución en malware operacional que ha sido modificado para ser más exitoso y enfocarse en nuevas víctimas.

Por su parte, LogMein dio una declaración:

“LogMeIn no proporciona este enlace, archivo o archivo ejecutable, y las actualizaciones de los productos de LogMeIn, incluidos los parches, las actualizaciones, etc., siempre se entregarán de forma segura dentro del producto.

Nunca nos contactaremos con una solicitud para actualizar su software que también incluye un archivo adjunto o un enlace a una nueva versión o actualización”.