在野外检测到更多POS恶意软件
根据ForcePoint Labs的研究人员,恶意软件伪装为远程连接服务软件Logmein,是窃取磁性带支付卡数据。
在研究人员注意到“Service Pack”生成了大量不寻常的域名系统(DNS)请求后,发现了恶意软件。
恶意软件窃取磁带数据的事实表明它是在美国而不是欧洲的目标,其中由芯片和Pinare普遍保护的支付卡。
研究人员说,可能的目标是固定和移动点(POS)终端(POS)码头,店主表示。
“作为分布式企业,零售和酒店链有数百和数千个网站的POS设备,这是企业和小型企业的重要业务问题,”他们说。
POS恶意软件似乎是一个新的家庭,研究人员具有称为“UDPOS”,因为它具有繁重的用户数据报协议(UDP)的DNS流量将支付卡数据传输到恶意软件背后的网络罪名。
研究人员表示尚不清楚恶意软件目前是否正在野外的广告系列中使用,而是瑞士的逻辑eIm-主题文件名和命令和控制(C2)服务器地址的协调使用,并与早期英特尔的证据相结合-themed变体,表明它可能是。
研究人员指出,在整个调查中,他们已经与Logmein接触,以帮助确定是否可以作为恶意软件部署过程的一部分被滥用的服务或产品,但没有发现这一点。
“看来,使用恶意软件背后的演员的Logmein主题文件名和C2域的使用是一个简单的诱惑和”伪装“技术,”他们表示,增加了Logmein并未以任何方式受到影响或感染。
Logmein还发表了一份声明,称LogMein产品(包括补丁)的所有合法性更新都将始终牢固地提供。该公司表示,LogMein将永远不会通过LogMein与Logmein联系,该请求还包括还包括附件或链接到新版本或更新的软件。
研究人员说,良好的消息是UDPO在2017年6月的那样是ThelockPosmalwarediCovered,而且没有正常工作。UDPOS旨在寻找特定的防病毒和虚拟机软件,以关闭以逃避检测,但目前只适用于一种类型。
“目前还不清楚这是否反映了恶意软件仍处于开发/测试的相对较早的阶段或开发人员的直接错误,”研究人员在博客帖子中说。
根据研究人员,在正常情况下,良好的防火墙将检测和防止DNS exfiltation。“此外,周到的修补和管理措施将停止安装不寻常的服务包,”他们说。
盗窃支付卡数据的传输将导致机器上的不寻常的活动模式,这意味着企业可以通过识别和反应对不寻常的DNS流量模式来检测这种攻击。
尽管恶意软件有错误的逃避代码,并且通过使用Data文件而不是主要在内存中工作,但是,研究人员表示,UDPOS是“真正不寻常”,虽然不是独一无二的,但在其使用基于DNS的通信中,他们警告说“非常有效”。
“几乎所有公司都有防火墙和其他保护,以Tomonitorand FilterTCP-和基于UDP的通信,但DNS仍然经常对待不同,为泄漏数据提供了金色机会,”这意味着恶意软件的检测率仍然非常低的。
“涉及非传统恶意软件时,”可见性始终是一个问题。研究人员表示,由于缺乏关注保护这些系统,因此可以很容易地错过任何目标标准端点或服务器的样本。