新的销售点Malware Multigrain窃取了DNS的卡数据

安全研究人员已经发现了一种新的内存刮擦恶意软件程序，可从销售点（POS）终端窃取支付卡数据，并使用域名系统（DNS）将其发送回攻击者。

威胁，威胁是一个名为newposthings的恶意软件程序系列的一部分，它分享了一些代码。然而，这种变体旨在瞄准特定环境。

因为与在许多进程中寻找卡数据的其他POS恶意软件程序不同，Multigrain针对一个名为Multi.exe的单个过程，即与流行的后端卡授权和POS服务器相关联。如果此过程在受损机器上未运行，则存在感染例程，并且恶意软件删除本身。

“这表明，在开发或建立恶意软件时，攻击者对目标环境非常了解，并知道这个过程将运行，”Fireeye的安全研究人员在博客帖子中说。

Fireeye没有命名多基础的POS软件。但是，像这样的威胁表明，公司需要监控源自自己网络的DNS流量以获得可疑行为。

Multigrain设计有隐身的设计。它被数字签名，它将其自身作为一个名为Windows模块扩展的服务，更重要的是，它通过DNS查询将数据发送回攻击者。

Stolen Paymack数据首先使用1024位RSA键加密，然后通过Base32编码过程。生成的编码数据用于日志的DNS查询。[Encoded_data] .evildomain.com，其中“evildomain”是由攻击者控制的域名。此查询将出现在域的权威DNS服务器中，该域也由攻击者控制。

这种技术虽然不具体到多基体，但允许攻击者通过其他因特网通信协议被阻止的限制环境传递数据。

“处理卡数据的敏感环境通常会监视，限制或完全阻止通常用于其他环境中的exfiltration的HTTP或FTP流量，”Fireeye研究人员表示。“虽然可以在限制性卡处理环境中禁用这些常见的互联网协议，但DNS仍然需要在公司环境中解析主机名，并且不太可能被阻止。”