UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn
Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protocolo es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.
El malware se presenta con nombres como ‘logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe’ y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo ‘infobat.bat’ que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado ‘PCi.jpg’, que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).
 |
| Malware UDPoS, extraída de: forcepoint |
C2 y Hashes
 |
| Extraída de: forcepoint |
 |
| Extraída de: forcepoint |
El malware también busca software antivirus en la máquina infectada o si está siendo ejecutado en una máquina virtual.
 |
| Extraída de: forcepoint |
Los investigadores de Forcepoint que lo han descubierto comentan que parece ser una versión en desarrollo, ya que no se puede asegurar que esté en funcionamiento completamente. Tal vez esto sólo sea una prueba del malware…
Volviendo al envío de datos robados, como ya comentamos el uso del protocolo DNS no es una elección común, pero tampoco es algo único. A continuación, recordamos algunos malwares que usan esta misma técnica para enviar los datos robados:
 |
| Extraída de: akamail.com |
LogMeIn ha publicado una aviso a sus clientes el cual podéis leer aquí.
@MPAlonso_
Deja un comentario