Un nuevo malware PoS único disfrazado como un paquete de servicio de LogMeIn roba datos de tarjetas de pago con cinta magnética de una amplia variedad de compañías, desde minoristas hasta grupos de hoteles.

Los investigadores de seguridad de Forcepoint detectaron un uso inusual de las solicitudes de tráfico DNS basadas en UDP generadas por el paquete de servicio de LogMeIn que lleva al descubrimiento del malware UDPoS que fue diseñado para robar datos de tarjetas de pago de banda magnética. Los investigadores de Forcepoint se comunicaron con LogMeIn.

LogMeIn  publicó un aviso  que indica que LogMeIn no proporciona el archivo ni el ejecutable, y las actualizaciones para los productos de LogMeIn, incluidos los parches, las actualizaciones, etc., siempre se entregarán de forma segura dentro del producto. Nunca nos contactaremos con una solicitud para actualizar su software que también incluye un archivo adjunto o un enlace a una nueva versión o actualización.

Los investigadores dijeron que «no está claro si el malware se está utilizando actualmente en campañas en la naturaleza, aunque el uso coordinado de nombres de archivos con temática LogMeIn y URLs C2, junto con evidencia de una variante anterior con temática Intel, sugieren que bien podría ser». 

Inflection Flow – Malware PoS

El malware llamado logmeinumon.exe y una vez que se instaló se comunica con el servidor de C & C y descarga el archivo dropper que contiene el archivo dropper update.exe , LogmeinServicePack_5.115.22.001.exe y logmeinumon.exe .

Al ejecutar update.exe se extrae y se sienta en la carpeta temporal LogmeinServicePack_5.115.22.001.exe que es responsable de colocar los archivos de malware que se activa automáticamente.

Una vez que se completa la configuración del malware, pasa la ejecución al componente de supervisión iniciando logmeinumon.exe que se compila en Visual Studio y utiliza la técnica de codificación de cadena.

El componente de monitoreo es una aplicación de subprocesos múltiples y el código es principalmente el código, que es principalmente responsable de descifrar y decodificar las cadenas internas del malware.

Una vez completada la instalación, obtiene la IP externa de la máquina infectada mediante el uso de una solicitud HTTP. Una vez que se ejecuta el malware, genera un archivo por lotes llamado infobat.bat, utiliza una serie de comandos estándar de Windows para crear una huella digital completa de la máquina infectada. Forcepoint publicó un informe de análisis completo .

Los investigadores dijeron: «El estilo de codificación y las técnicas que se ven en el malware difícilmente pueden describirse como sobresalientes. Más allá del código de evasión defectuoso mencionado anteriormente, usar archivos de datos escritos en el disco en lugar de trabajar predominantemente en la memoria, además de dejar rastros innecesarios, raramente es la marca registrada de malware de última generación e, igualmente, hay formas más avanzadas de tomar huellas digitales de una PC y generar informe.»

Fuente: gbhackers

Compartir