DNS-tunneling werd gebruikt om gegevens uit retailsystemen te exfiltreren – voornamelijk gestolen creditcardgegevens.

 

Beveiligingsonderzoekers hebben ontdekt dat hackers de mogelijkheden van de Alina point-of-sale-malware hebben versterkt om creditcardgegevens te stelen met DNS-tunneling.

 

Volgens een blogbericht van CenturyLink is de Alina-malware opnieuw opgedoken nadat deze voor het eerst werd ontdekt in 2012. In eerdere voorbeelden gebruikte de malware HTTPS of een combinatie van HTTPS en DNS voor de exfiltratie van de gestolen creditcardgegevens. Het nieuwste voorbeeld gebruikt nu alleen DNS voor communicatie.


 

Onderzoekers van Black Lotus Labs van CenturyLink gebruikten een van de machine learning-modellen die ongebruikelijke zoekopdrachten markeerden voor het domein akamai-technologies [.] Com. Bij het decoderen van de informatie in de subdomeinen van deze zoekopdrachten, ontdekten ze wat bleek te zijn als creditcardinformatie die werd geëxfiltreerd door de Alina Point of Sale (POS) -malware. creditcard van n26 is duidelijk.

 

In april van dit jaar merkten onderzoekers op dat er sinds begin mei meer verkeer was naar alle domeinen, met name akamai-technologies.com.

 

“Deze toename van het verkeer is te wijten aan vragen die afkomstig zijn van een enkel slachtoffer uit de financiële dienstverlening”, aldus onderzoekers.

 

De DNS-query’s naar de C2-domeinen zijn allemaal type A-query’s, wat betekent dat ze een ipv4-reactie verwachten. Onderzoekers zagen dat ze allemaal willekeurig uitziende subdomeinen hebben. zakelijke creditcard aanvragen online is makkelijk.

 

Na analyse concludeerden onderzoekers dat de malware het DNS-protocol gebruikte om creditcardgegevens te stelen en deze informatie naar een externe server van hackers te sturen.

 

“Elk van de DNS-queries die ontdekt worden, checkt in met de C2, zoals de” Ping “-query hierboven, of ze bevatten creditcardgegevens. De zoekopdrachten die creditcardnummers bevatten, bevatten een uitvoerbare naam in het veld dat volgt op het locatie- of beschrijvingsveld. Dit lijkt het proces te zijn waarvan de malware heeft vastgesteld dat het de creditcardgegevens in het geheugen bevat, ‘aldus onderzoekers.

 

Onderzoekers zeiden dat DNS een populaire keuze is voor malware-auteurs om beveiligingsmaatregelen te omzeilen en gegevens van beveiligde netwerken te exfiltreren. “Point-of-sale-malware vormt nog steeds een ernstige bedreiging voor de beveiliging en kwaadwillende actoren updaten hun malware regelmatig om detectie te omzeilen”, voegde ze eraan toe.

 

Onderzoekers waarschuwden organisaties om DNS-verkeer te controleren op abnormale activiteiten om vergelijkbare aanvallen te voorkomen.

 

Javvad Malik, advocaat voor beveiligingsbewustzijn bij KnowBe4, vertelde SC Media UK dat Alina al een tijdje bestaat, en deze laatste evolutie laat zien dat de groep erachter niet snel zal vertragen.

 

“PoS-malware is er in verschillende gedaanten, daarom is het belangrijk dat organisaties de tijd nemen om de risico’s te begrijpen en maatregelen nemen om de kans op slagen van de aanvallen te verkleinen. Dit kan onder meer het gebruik van bedreigingsinformatie zijn om te controleren op IOC’s, toegang op afstand beveiligen, EMV-technologieën inschakelen, monitoring via het netwerk inschakelen en monitoring van gedrag, ”zei hij.

 

“Specifiek voor Alina moet de monitoring kijken naar DNS-verkeer om ongebruikelijke of onverwachte activiteiten op te sporen en moeten er responscontroles zijn ingebouwd om corrigerende maatregelen te nemen.”