Multigrain использует DNS для передачи данных банковских карт

Multigrain использует DNS для передачи данных банковских карт

Новая разновидность вредоносной программы NewPostThings для терминалов использует DNS для передачи данных пластиковых карт.

image

В Сети появилась новая разновидность вредоносной программы NewPostThings для терминалов, использующей DNS-протокол для передачи информации в обход межсетевого экрана. Вредонос Multigrain представляет собой слегка модифицированную версию NewPostThings. Особенностью Multigrain является наличие цифровой подписи и использование DNS для передачи данных, не свойственное семейству вредоносов NewPostThings. Хотя техника DNS-эксфильтрации встречалась ранее у вредоносов BernhardPOS и FrameworkPOS.

Как правило, вредоносы для POS-терминалов сканируют процессы в памяти в поисках данных пластиковых карт. После попадания на систему Multigrain проверяет наличие процесса multi.exe, относящегося к популярному программному обеспечению для терминалов. Если процесс не найден, Multigrain не устанавливается и удаляется сам собой.

При успешном заражении терминала вредонос создает файл «c:\windows\wme.exe», устанавливает службу с названием Windows Module Extension и отправляет DNS-запрос, свидетельствующий об успешной установке, на подконтрольный злоумышленникам сервер. Извлеченные из памяти данные пластиковых карт (номера карт и PIN-коды) шифруются с помощью 1024-битного RSA-ключа и отправляются в виде DNS-запроса с пятиминутными интервалами.

Как отмечают в Fireeye, при обработке данных банковских карт системные администраторы обращают больше внимания на мониторинг, ограничение или блокирование HTTP или FTP-трафика. Протокол DNS не блокируется, так как он нужен для корректной работы системы.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.