Un logiciel malveillant de point de vente (POS) Windows a été découvert en utilisant le protocole DNS pour faire passer des cartes de crédit volées à un serveur distant sous le contrôle de l’attaquant.

Les logiciels malveillants POS sont installés sur les systèmes de point de vente pour surveiller les paiements à l’aide de cartes de crédit. Lorsqu’un paiement est traité sur un terminal distant ou sur la machine locale, le malware supprimera les informations de la carte de crédit de la mémoire de l’ordinateur et les enverra à un serveur de commande et de contrôle à distance exploité par les attaquants.

Les attaquants collectent ensuite les données de carte de crédit et les utilisent pour effectuer des achats frauduleux, cloner des cartes de crédit ou vendre les données sur des marchés du dark web.

Le malware Alina POS utilise DNS pour échapper à la détection

Lors de la sécurisation de systèmes POS, il est courant de les verrouiller afin qu’ils ne puissent se connecter qu’aux protocoles spécifiques nécessaires. Dans de nombreux cas, ces restrictions incluent le verrouillage du protocole HTTP afin que les systèmes POS ne puissent pas se connecter aux serveurs Web.

Cette restriction empêcherait le logiciel malveillant de se reconnecter aux serveurs de commande et de contrôle des logiciels malveillants POS qui utilisent le protocole HTTP pour envoyer des cartes de crédit volées.

Cependant, le protocole DNS n’est généralement pas bloqué car il est requis pour une variété de services Windows et le fonctionnement général d’une machine.

Sachant cela, le malware Alina POS a ajouté la possibilité d’utiliser des requêtes DNS codées pour communiquer avec son serveur de commande et de contrôle.

Infos WEB:  Android Ransomware demande des informations sur la carte de crédit de la victime

Dans un nouveau rapport de la société de services informatiques CenturyLink, les chercheurs expliquent comment l’un de leurs modèles d’apprentissage automatique a détecté des requêtes DNS inhabituelles sur un domaine spécifique en avril et a découvert que le logiciel malveillant Alina POS l’avait causé.

« Le vol a été découvert après qu’un des modèles d’apprentissage automatique de Black Lotus Labs a signalé des requêtes inhabituelles à un domaine spécifique en avril 2020. Des recherches rigoureuses ont déterminé que le malware Alina POS utilisait le système de noms de domaine (DNS) – la fonction qui convertit un site Web. nom dans une IP …

Voir la source de cette publication