POS Malware utiliza DNS para robar datos de tarjetas de pago

Ciberdelincuentes están utilizando una versión renovada del troyano Alina para apuntar a dispositivos de punto de venta basados ​​en Windows para robar datos de tarjetas de pago, según Black Lotus Labs de Century Link.

Los operadores de malware están utilizando protocolos DNS no seguros para la comunicación entre los dispositivos POS infectados y su servidor de comando y control para filtrar los datos.

Muchos usuarios de máquinas POS basadas en Windows restringen o bloquean puertos y protocolos de comunicación, como el protocolo HTTP, para restringir el acceso a estos dispositivos y los datos que contienen. Pero el protocolo DNS a veces se pasa esto por alto o está mal asegurado, detalla el informe de la organización.

«El DNS a menudo se deja disponible, y con demasiada frecuencia no se supervisa», señala Black Lotus Labs. «Esto hace que DNS sea una opción atractiva para la comunicación saliente del malware POS, incluida la filtración de información de tarjetas de crédito robadas”.

Orientación de dispositivos de punto de venta

«La investigación determinó que el malware Alina POS estaba utilizando DNS, función que convierte el nombre de un sitio web en una dirección IP, generándose así un canal de comunicación saliente por el cual se filtran los datos robados», indicaron miembros de Black Lotus Labs.

Durante una transacción de pago, un dispositivo POS descifra los datos y guarda temporalmente los datos de la tarjeta de crédito sin cifrar. En un dispositivo infectado, el malware busca en la RAM los datos no cifrados y envía la información a los estafadores.

Para extraer los datos, los cibercriminales envían una consulta DNS a un dominio que controlan, luego los datos codificados se colocan en este subdominio; la información robada puede incluir números de tarjetas de pago, fechas de vencimiento y un número de siete dígitos que los
investigadores aún no han descifrado. Los datos de pago robados generalmente se venden en mercados criminales clandestinos.

Alina Revamp

El troyano Alina, que se descubrió por primera vez en 2012, ha sido utilizado por pandillas de fraude y ciberdelincuencia para atacar a minoristas estadounidenses. Desde su aparición, los desarrolladores detrás del malware han actualizado sus tácticas, técnicas y procedimientos para
evitar que se detecte su código malicioso.

Los investigadores señalan que, si bien las versiones anteriores del malware usaban HTTPS o una combinación de HTTPS y DNS para filtrar datos, los estafadores ahora se han cambiado a DNS para así evitar la detección y robar datos.