老瓦讲述乒乓球背后的秘密 (TV4)
A biztonsági kutatók egy új memória-lekapó rosszindulatú programot találtak, amely ellopja a fizetési kártya adatait az értékesítési ponttól ( PoS) terminálokat, és visszaadja a támadóknak a Domain Name System (DNS) használatával.
Multigrain nevű, a fenyegetés a NewPosThings néven ismert rosszindulatú programcsalád része, amellyel megosztja a kódot. Ez a változat azonban arra irányult, hogy specifikus környezeteket célozhasson meg.
Ez azért van, mert ellentétben más olyan PoS malware programokkal, amelyek kártyaadatokat keresnek számos folyamat memóriájában, a Multigrain egy olyan folyamatot céloz, amely multi.exe néven ismert, kártya felhatalmazás és PoS szerver. Ha ez a folyamat nem fut a fertőzött gépen, akkor a fertőzött rutin létezik, és a rosszindulatú program törli magát.
[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]"Ez azt mutatja, hogy a rosszindulatú programok fejlesztése vagy felépítése során , a támadók nagyon pontos ismereteket szereztek a célkörnyezetről, és tudták, hogy ez a folyamat futna "- mondta a FireEye biztonsági kutatói egy blogbejegyzésben.
FireEye nem nevezte a PoigSig szoftvert, amelyet a Multigrain célzott. Azonban az ilyen fenyegetések azt mutatják, hogy a vállalatoknak ellenőrizniük kell a saját hálózataikból származó DNS-forgalmat a gyanús viselkedés miatt.
A Multigrain-et véletlenül tervezték. Digitálisan aláírva telepíti magát a Windows Module Extension nevű szolgáltatásnak, és ami még fontosabb, visszaadja az adatokat a támadóknak a DNS lekérdezéseken keresztül.
A lopott fizetési kártya adatait először 1024 bites RSA kulcs segítségével titkosítják, majd elhalasztják egy Base32 kódolási folyamaton keresztül. Az eredményül kapott kódolt adatokat DNS-lekérdezésben használjuk a log-nak [encoded_data] .evildomain.com, ahol az "evildomain" a támadók által ellenőrzött tartománynév. Ez a lekérdezés megjelenik a domain hiteles DNS-kiszolgálóján, amelyet a támadók is irányítanak.
Ez a technika, bár nem specifikus a Multigrain-re, lehetővé teszi a támadók számára az adatok átadását korlátozott környezetből, ahol más internetes kommunikációs protokollok blokkolva vannak.
"A kártyaadatokat feldolgozó érzékeny környezetek gyakran megfigyelik, korlátozzák vagy teljesen blokkolják a HTTP vagy FTP forgalom forgalmát, amelyet gyakran használnak a más környezetben történő exfiltrációhoz" - mondta a FireEye kutató. "Noha ezek a gyakori internetes protokollok letiltásra kerülhetnek egy korlátozó kártya-feldolgozási környezetben, a DNS-re még mindig szükség van a vállalati környezetben lévő hostnevek megoldására, és valószínűleg nem lehet blokkolni."
Az Andromeda botnet által forgalmazott új értékesítési pontok
A támadók spameket használnak az Andromeda hátsó rendszereinek megfertőzésére, majd a GamaPoS alkalmazására válasszon ki értékesítési helyeket
ÚJ értékesítési pontok A Multigrain ellopja a kártyaadatokat a DNS-en keresztül
(DNS) felhasználót használó támadóknak.
Az értékesítési pontok adatainak megsértése mostantól eljutott a felhőbe
A legfrissebb, értékesítési rendszerek 38 000 üzleti ügyféllel érintkeztek egy felhőalapú szolgáltatás üzemeltetőjével.
