新しいPOS販売マルウェアDNS経由でのマルチグレイン盗難カードデータ

Multigrainと呼ばれるこの脅威は、NewPosThingsとして知られているマルウェアプログラムファミリの一部であり、しかし、この亜種は、特定の環境をターゲットとするように設計されています。

Multigrainは、多くのプロセスのメモリ内でカードデータを探す他のPoSマルウェアプログラムとは異なり、一般的なバックエンドカード認証とPoSサーバ。

[詳しい情報：Windows PCからマルウェアを削除する方法]

"これは、マルウェアを開発または構築している最中に、感染したコンピュータ上で実行されていることを示しています。 FireEyeのセキュリティ研究者はブログの記事で、FireEyeはMultigrainが指摘するPoSソフトウェアの名称を挙げていませんでした。しかし、このような脅威は、疑わしい行為のために自分のネットワークから発生したDNSトラフィックを監視する必要があることを示しています。

Multigrainはステルスを念頭に置いて設計されています。

盗まれたペイメントカードのデータは、最初に1024ビットのRSAキーで暗号化され、その後、パスされます。 Base32エンコーディングプロセスを介して。結果のコード化されたデータは、ログ[[encoded_data] .evildomain.com]のDNSクエリで使用されます。ここで、 "evildomain"は攻撃者によって制御されるドメイン名です。

この手法は、Multigrain特有のものではなく、攻撃者が他のインターネット通信プロトコルがブロックされている制限された環境からデータを渡すことを可能にします。

「カードデータを処理する機密性の高い環境では、他の環境で頻繁に使用されるHTTPまたはFTPトラフィックを監視、制限、または完全にブロックすることがあります。 「これらの一般的なインターネットプロトコルは、制限の厳しいカード処理環境では無効になる可能性がありますが、企業環境内のホスト名を解決するのにDNSはまだ必要であり、ブロックされる可能性は低いです。」