lunes, 12 de febrero de 2018

UDPoS, el malware que afecta a puntos de venta

UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn


Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protocolo es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.

El malware se presenta con nombres como 'logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe' y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo 'infobat.bat' que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado 'PCi.jpg', que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).



Malware UDPoS, extraída de: forcepoint
C2 y Hashes


Extraída de: forcepoint
Extraída de: forcepoint


El malware también busca software antivirus en la máquina infectada o si está siendo ejecutado en una máquina virtual.

Extraída deforcepoint

Los investigadores de Forcepoint que lo han descubierto comentan que parece ser una versión en desarrollo, ya que no se puede asegurar que esté en funcionamiento completamente. Tal vez esto sólo sea una prueba del malware...


Volviendo al envío de datos robados, como ya comentamos el uso del protocolo DNS no es una elección común, pero tampoco es algo único. A continuación, recordamos algunos malwares que usan esta misma técnica para enviar los datos robados:
Extraída de:  akamail.com

LogMeIn ha publicado una aviso a sus clientes el cual podéis leer aquí.





Mario Parra
@MPAlonso_
Más información:

Investigación completa del malware: