سرقت اطلاعات کارت‌های بانکی از طریق درخواست‌های DNS

محققان شرکت Forcepoint از کشف بدافزاری بانکی با عنوان UDPoS خبر داده‌اند که پس از سرقت اطلاعات کارت‌های اعتباری از سیستم‌های متصل به دستگاه‌های موسوم به PoS، آنها را در قالب درخواست‌های DNS به سرور فرماندهی مهاجمان ارسال می‌کند.

کاربرد اصلی پودمان DNS تبدیل نام دامنه به نشانی IP متناظر با آن است. سرورهای DNS از انواع مختلفی از رکوردها پشتیبانی می‌کنند.

به گزارش شرکت مهندسی شبکه گستر، ارتباطات بین بدافزار با سرور فرماندهی نیز همگی در قالب پرس‌وجوهای DNS انجام شده و به این طریق، اطلاعات سرقت شده توسط بدافزار به دست مهاجمان می‌رسد.

معمولاً سازمان‌ها کنترل‌های سخت‌گیرانه‌ای را بر روی پودمان‌های HTTP و HTTPS اعمال می‌کنند اما در خصوص ارتباطات DNS حساسیت کمتری وجود دارد. به نظر می‌رسد مشخص است که هدف این مهاجمان نیز مخفی کردن حضور خود با بهره‌گیری از این موضوع بوده باشد.

پیش‌تر و در سال 2016 نیز بدافزار بانکی Multigrain از این تکنیک استفاده کرده بود. با این حال بر خلاف آن، بدافزار UDPoS موفق به آلوده‌سازی گسترده نشده است.

متخصصان Forcepoint کدنویسی UDPoS را ضعیف توصیف کرده‌اند.

اما با توجه به توانایی بهره جویی این مهاجمان از تکنیک مخفی‌سازی ارتباطات در قالب درخواست‌های DNS این فرضیه را می‌توان مطرح کرد نویسندگان بدافزار در نسخه بعدی اشکالات مطرح شده فعلی را برطرف کنند و چه بسا اکنون نیز نسخه جدید آنها در حال انتشار باشد.

مشروح گزارش Forcepoint در اینجا قابل دریافت و مطالعه است.

توضیح اینکه نمونه‌های بررسی شده در گزارش Forcepoint با نام‌های زیر قابل شناسایی هستند:

McAfee
   – RDN/Generic.dx
   – RDN/Generic Downloader.x

Bitdefender
   – Trojan.GenericKD.12658670
   – Trojan.GenericKD.6283846
   – Trojan.GenericKD.40106008
   – Trojan.GenericKD.6139248