Posté le juillet 3, 2020 à 19:55
UN LOGICIEL MALVEILLANT DE POINT DE VENTE VOLE LES DONNÉES DE CARTES DE CRÉDIT EN UTILISANT UN DNS NON SÉCURISÉ
Les chercheurs en sécurité de CenturyLink ont découvert que les hackers ont augmenté les capacités du logiciel malveillant de point de vente Alina, car il utilise maintenant la méthode « tunneling DNS » pour voler les données des cartes de crédit.
Dans un billet de blog, les chercheurs de CenturyLink ont déclaré que le logiciel malveillant Alina avait été initialement considéré comme éteint après sa découverte en 2012. Mais le logiciel malveillant est de retour. La première méthode opérationnelle du logiciel malveillant était l’utilisation d’une combinaison de DNS et de HTTPS ou seulement de HTTPS pour voler des informations de carte de crédit. Cependant, l’échantillon le plus récent découvert par les chercheurs n’utilise que le DNS pour la communication.
Les chercheurs ont utilisé un modèle d’apprentissage automatique pour signaler les requêtes au domaine akamai-technologies[.]com. Une fois qu’ils ont décodé les données trouvées dans les sous-domaines des requêtes, ils ont découvert les données des cartes de crédit que le logiciel malveillant Alina volait.
Au début du mois d’avril, les chercheurs ont découvert que tous les domaines, en particulier le domaine akamai-technologies.com, ont connu un niveau de trafic accru.
« Cette augmentation du trafic est due à des requêtes provenant d’une seule victime du secteur des services financiers », ont souligné les chercheurs.
Ils ont découvert que les requêtes DNS vers les domaines C2 sont des requêtes de type A, ce qui signifie qu’ils attendent une réponse ipv4.
Le logiciel malveillant utilise le DNS pour voler des données
Après avoir analysé les données, les chercheurs ont révélé que le logiciel malveillant volait les données des cartes de crédit en utilisant le protocole DNS. Il envoie ensuite les données volées à un serveur distant contrôlé par les hackers.
Les chercheurs de CenturyLink avertissent maintenant les utilisateurs que le logiciel malveillant est à nouveau opérationnel grâce à une nouvelle méthode connue sous le nom de tunneling DNS. Cette nouvelle méthode permet aux hackers de voler les données de cartes de crédit de victimes peu méfiantes.
Les chercheurs ont également découvert les domaines que le logiciel malveillant Alina utilisait pour envoyer des messages aux serveurs C2 via le DNS. Lorsque le logiciel malveillant communique avec les serveurs C2, il encode les requêtes DNS et les rattache à un domaine pour le faire ressembler à un sous-domaine.
Lorsque la requête DNS est envoyée au serveur C2, il décode le sous-domaine codé pour extraire soit la commande PING, soit les données de la carte volée, informant ainsi les acteurs que le logiciel malveillant est toujours opérationnel sur le système. Les quatre domaines découverts par les chercheurs présentaient les mêmes requêtes DNS.
Le logiciel malveillant utilise également un algorithme pour s’assurer qu’il vole les données authentiques des cartes de paiement dans la mémoire vive de l’ordinateur cible.
Après avoir volé les données, les acteurs envoient une requête DNS à un domaine qu’ils contrôlent. Ensuite, le logiciel malveillant place les données codées dans le sous-domaine, ce qui facilite l’extraction par les acteurs, selon le rapport.
Les données volées comprennent des numéros de cartes de crédit, leur date d’expiration et un numéro à sept chiffres que les chercheurs doivent encore décoder. La plupart du temps, ils vendent les détails des cartes volées sur le darknet.
Les logiciels malveillants de points de vente représentent une menace sérieuse pour la sécurité
Il existe d’autres logiciels malveillants qui utilisent les protocoles DNS pour voler et envoyer des données à des serveurs distants. Plus tôt dans l’année, des chercheurs ont découvert un nouveau logiciel malveillant Mozart à porte dérobée qui utilisait les données DNS TXT pour communiquer avec les domaines C2.
Les chercheurs de CenturyLink ont déclaré que les auteurs de logiciels malveillants utilisent généralement le DNS lorsqu’ils veulent échapper aux systèmes de sécurité et voler des données sur des réseaux protégés.
Ils ont également déclaré que les logiciels malveillants de points de vente représentent de plus en plus de graves menaces pour la sécurité, car les acteurs malveillants tentent de contourner les protocoles de sécurité en mettant régulièrement à jour leurs logiciels malveillants.
Les chercheurs du Black Lotus Labs ont observé que le volume des requêtes DNS a augmenté en janvier et s’est poursuivi jusqu’en mai.
Alina refait surface avec une version améliorée
Le logiciel malveillant Alina a été initialement découvert en 2012, car il était utilisé par des cybercriminels pour lancer des attaques contre des revendeurs américains. Depuis lors, les auteurs du logiciel ont amélioré les capacités du logiciel malveillant, notamment les procédures et les techniques d’attaque. Le logiciel malveillant est désormais plus difficile à détecter en raison des améliorations apportées par les développeurs.
Les chercheurs ont conseillé à toutes les organisations de renforcer les systèmes de surveillance de leur trafic DNS afin de détecter facilement les requêtes suspectes et de stopper toute attaque éventuelle.