Multigrain использует DNS для передачи данных банковских карт

В Сети появилась новая разновидность вредоносной программы NewPostThings для терминалов, использующей DNS-протокол для передачи информации в обход межсетевого экрана. Вредонос Multigrain представляет собой слегка модифицированную версию NewPostThings. Особенностью Multigrain является наличие цифровой подписи и использование DNS для передачи данных, не свойственное семейству вредоносов NewPostThings. Хотя техника DNS-эксфильтрации встречалась ранее у вредоносов BernhardPOS и FrameworkPOS.

Как правило, вредоносы для POS-терминалов сканируют процессы в памяти в поисках данных пластиковых карт. После попадания на систему Multigrain проверяет наличие процесса multi.exe, относящегося к популярному программному обеспечению для терминалов. Если процесс не найден, Multigrain не устанавливается и удаляется сам собой.

При успешном заражении терминала вредонос создает файл «c:\windows\wme.exe», устанавливает службу с названием Windows Module Extension и отправляет DNS-запрос, свидетельствующий об успешной установке, на подконтрольный злоумышленникам сервер. Извлеченные из памяти данные пластиковых карт (номера карт и PIN-коды) шифруются с помощью 1024-битного RSA-ключа и отправляются в виде DNS-запроса с пятиминутными интервалами.

Как отмечают в Fireeye, при обработке данных банковских карт системные администраторы обращают больше внимания на мониторинг, ограничение или блокирование HTTP или FTP-трафика. Протокол DNS не блокируется, так как он нужен для корректной работы системы.