Malware Alina POS использует DNS для переправки украденных кредитных карт

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 4 Jul 2020.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    169
    Likes Received:
    550
    Reputations:
    5
    Вредоносное ПО Windows Point-of-Sale (POS) было обнаружено при использовании DNS протокола для переправки украденных кредитных карт на удаленный сервер под контролем злоумышленника.

    POS malware установлено в торговых точках для мониторинга платежей с использованием кредитных карт. Когда платеж обрабатывается на удаленном терминале или локальном компьютере, вредоносная программа извлекает информацию о кредитной карте из памяти компьютера и отправляет ее на удаленный сервер управления и контроля, управляемый злоумышленниками.

    Затем злоумышленники собирают данные кредитных карт и используют их для мошеннических покупок, клонирования кредитных карт или продажи в darknet.

    Вредоносная программа Alina POS использует DNS, чтобы избежать обнаружения

    При защите POS-систем обычно их настраивают так, чтобы они могли подключаться только к необходимым протоколам. Во многих случаях эти ограничения включают блокировку протокола HTTP, чтобы системы POS не могли подключаться к веб-серверам.

    Это ограничение будет препятствовать подключению вредоносных программ к серверам управления и контроля для вредоносных программ POS, использующих протокол HTTP для отправки украденных кредитных карт.

    Тем не менее, протокол DNS обычно не блокируется, так как он требуется для различных служб Windows и общей работы компьютера.

    Зная это, вредоносная программа Alina POS добавила возможность использовать закодированные DNS-запросы для связи со своим сервером управления и контроля.

    В новом отчете IT-компании CenturyLink исследователи объясняют, как одна из их моделей машинного обучения обнаружила необычные DNS-запросы к определенному домену в апреле и обнаружила, что это вызвало вредоносное ПО Alina POS.

    «Кража была обнаружена после того, как одна из моделей машинного обучения Black Lotus Labs помечала необычные запросы к определенному домену в апреле 2020 года. Тщательное исследование показало, что вредоносное ПО Alina POS использует систему доменных имен (DNS) как исходящий канал связи, по которому были переданы украденные данные ", говорится в сообщении.

    [​IMG]
    DNS traffic for C2 domains
    Source: CenturyLink
    После дальнейших исследований они обнаружили, что вредоносное ПО Alina использует четыре домена для связи с серверами команд и управления через DNS.

    analytics-akadns[.]com
    akamai-analytics[.]com
    akamai-information[.]com
    akamai-technologies[.]com
    sync-akamai[.]com (not active)

    Передача данных с использованием закодированных DNS-запросов

    При взаимодействии с серверами команд и управления вредоносная программа Alina будет кодировать DNS-запросы и добавлять их в домен, как если бы они были поддоменом.

    Например, ниже приведены данные, закодированные и добавленные в качестве субдомена akamai-technologies.com:
    yeTLxcbvkOjr6eH_-pCYkPrDxM0.akamai-technologies[.]com

    Когда атакующий сервер C2 получает этот запрос, он декодирует закодированный поддомен, чтобы извлечь либо команду PING, чтобы сообщить злоумышленникам, что вредоносное ПО все еще работает, либо передаёт информацию об украденной кредитной карте.

    «Каждый из обнаруженных DNS-запросов либо регистрируется с помощью C2, например, вышеупомянутого запроса «Ping», либо содержит информацию о кредитной карте. Запросы, содержащие номера кредитных карт, содержат имя исполняемого файла в поле после местоположения или дескриптора. Похоже, это процесс, который вредоносная программа определила как содержащую информацию о кредитной карте в памяти», - говорится в отчете CenturyLink's.

    Если это PING, данные будут отправлены в формате
    Code:
    [Victim_id]:[Location]:Ping, например:
    cNaolE:BACKTT:2:Ping
    Для запросов, которые содержат информацию о кредитной карте, данные будут иметь формат
    [Victim_id]:[Location]:[Scraped Process]:[Credit Card Data].

    [viYaKNsY:BACKOFFICEz2::ddcdsrv1.exe::

    CenturyLink обнаружил, что следующие процессы были отфильтрованы для кредитных карт и включены в запросы DNS:
    DSIMercuryIP_Dial.exe
    EdcSvr.exe
    fpos.exe
    Brain.exe
    Focus.exe
    appidt.exe
    ddcdsrv1.exe
    fontdvrhost.exe
    tcopy.exe

    Окончательные данные, содержащиеся в разделе «Данные кредитной карты», включают номер кредитной карты, дату истечения срока действия и неизвестные семь цифр.

    [Credit card digits removed]=DDMMYYYY[Unknown seven digits]

    Поскольку отфильтрованные данные закодированы в DNS-запросах, программное обеспечение безопасности и шлюзы не смогут обнаружить его как вредоносное.

    CenturyLink рекомендует организациям отслеживать DNS-трафик на предмет повторяющихся подозрительных запросов в один и тот же домен.

    «Мы рекомендуем всем организациям, в том числе предприятиям розничной торговли, использующим системы торговых точек, отслеживать DNS-трафик на наличие подозрительных запросов», - предлагает" CenturyLink.

    Alina - не единственная известная вредоносная программа, использующая DNS для отправки данных на удаленные серверы.

    В феврале BleepingComputer уже сообщала об обнаружении новой Mozart backdoor malware использующей записи DNS TXT для связи через C2.

    Источник: https://www.bleepingcomputer.com/ne...ware-uses-dns-to-smuggle-stolen-credit-cards/
     
    Baskin-Robbins and Suicide like this.
  2. CyberTro1n

    CyberTro1n Active Member

    Joined:
    20 Feb 2016
    Messages:
    458
    Likes Received:
    283
    Reputations:
    1
    Алины все вредные... Беее
     
Loading...