محققان شرکت Forcepoint از کشف بدافزاری بانکی با عنوان UDPoS خبر دادهاند که پس از سرقت اطلاعات کارتهای اعتباری از سیستمهای متصل به دستگاههای موسوم به PoS، آنها را در قالب درخواستهای DNS به سرور فرماندهی مهاجمان ارسال میکند.
کاربرد اصلی پودمان DNS تبدیل نام دامنه به نشانی IP متناظر با آن است. سرورهای DNS از انواع مختلفی از رکوردها پشتیبانی میکنند.
به گزارش شرکت مهندسی شبکه گستر، ارتباطات بین بدافزار با سرور فرماندهی نیز همگی در قالب پرسوجوهای DNS انجام شده و به این طریق، اطلاعات سرقت شده توسط بدافزار به دست مهاجمان میرسد.
معمولاً سازمانها کنترلهای سختگیرانهای را بر روی پودمانهای HTTP و HTTPS اعمال میکنند اما در خصوص ارتباطات DNS حساسیت کمتری وجود دارد. به نظر میرسد مشخص است که هدف این مهاجمان نیز مخفی کردن حضور خود با بهرهگیری از این موضوع بوده باشد.
پیشتر و در سال 2016 نیز بدافزار بانکی Multigrain از این تکنیک استفاده کرده بود. با این حال بر خلاف آن، بدافزار UDPoS موفق به آلودهسازی گسترده نشده است.
متخصصان Forcepoint کدنویسی UDPoS را ضعیف توصیف کردهاند.
اما با توجه به توانایی بهره جویی این مهاجمان از تکنیک مخفیسازی ارتباطات در قالب درخواستهای DNS این فرضیه را میتوان مطرح کرد نویسندگان بدافزار در نسخه بعدی اشکالات مطرح شده فعلی را برطرف کنند و چه بسا اکنون نیز نسخه جدید آنها در حال انتشار باشد.
مشروح گزارش Forcepoint در اینجا قابل دریافت و مطالعه است.
توضیح اینکه نمونههای بررسی شده در گزارش Forcepoint با نامهای زیر قابل شناسایی هستند:
McAfee
– RDN/Generic.dx
– RDN/Generic Downloader.x
Bitdefender
– Trojan.GenericKD.12658670
– Trojan.GenericKD.6283846
– Trojan.GenericKD.40106008
– Trojan.GenericKD.6139248